[uanog] New virus attack

[Vladimir Sharun]

Привет, 



Интеллект Сервис узнавал что у них на серверах происходит из сообщений 
в СМИ и то с запозданием. Есть еще вопросы технического уровня компании ? 
Вот такого же  качества инсайд и у меня был. Но кто об этом знал - есть какой-то инсайд, 
мы его крутим умозрительно, он внешне не противоречит имеющейся информации и 
из него строятся правдоподобные гипотезы и ответы на широкие вопросы: можно ли 
качать медок вообще (нельзя), можно ли его использовать вообще - осталось неотвеченным. 


Я был уверен, что  это не дезинформация, потому что их бы потом на костёр за нее, т.е. 
это, юридически, "искреннее заблуждение". Но и это было уже что-то. 


6 липня 2017, 11:28:07, від "Mike Petrusha" < mp at disan.net >: 


Hi!

И то, и другое - догадки.
За 96 часов к приезду специалистов можно было каких хочешь логов написать.

На http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
тоже заметили, что "the actor in question burned a significant
capability in this attack.  They have now compromised both their
backdoor in the M.E.Doc software and their ability to manipulate the
server configuration in the update server. In short, the actor has
given up the ability to deliver arbitrary code to the 80% of UA
businesses that use M.E.Doc as their accounting software..." Это
выглядит как баг со стороны вирусописателей.

Про эту же статью - непонятно, откуда известно, что "... that the
server had been wiped the same day at 7:46 PM UTC... using dd
if=/dev/zero". Где это было найдено? И если хостер поделился с ними
этим, почему не поделился дальнейшей цепочкой?

Потом, я так понимаю, что нашли на сайте web-shell модуль, но в 27-го
заходили не через него, а через дырку в ftp-чём-то и то не с первого
раза. И это при том, что доступ ко всей системе был начиная с апреля.

Т.е. с апреля кто-то регулярно получал исходники, элегантно вписывал
туда backdoor, раздавал эту версию всем (Тоже через L7 hijack, или
просто подменяя бинарник на обычном сервере? Эти версии с backdoor
есть на серверах MeDoc? А код в исходниках?), а 27-го числа не мог
зайти нормально?

Ну и дальше - позавчера-то откуда вирус опять взялся? Ерунда какая-то.

--
Mike


> Я делал всё что мог на основании информации, которую мне давали. Выводы
> были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не
> выявлен
> и может находиться на сети, а не прямо на серверах. Также я оказался прав
> про перехват
> ip, только это не на L2/L3 было, а на L7 - запросы проксировались.
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170706/8badaef7/attachment-0001.html>