<html><body><span class="xfm_30096547"><div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Привет,</span>
<br/></div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Это гипотезы, которые объясняют позицию Медка (у нас не было этого обновления на серверах)</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">и факты, что логи проксей фисировали, что скачка payload'а осуществлялась с валидного ip.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Учитывая, что логи прокси пострадавшего third-party офиса у меня есть на руках и они, мягко говоря, удивительные.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Похоже что тот, кто делал payload хорошо под микроскопом рассмотрел дыру в Медке, которая позволяет</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">запустить нужный payload <span style="font-family:Arial;font-size:10pt;line-height:12pt;">через дыру.</span></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Этот хак полезен тем, что он <span style="font-family:Arial;font-size:10pt;line-height:12pt;">вскрывает </span>горы проблем в безопасности на всех уровнях, начиная с L2/L3 и заканчивая</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">уровнем приложения. Да, распространение апдейтов через третьих лиц по какой-то сложной процедуре сделало бы</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">практически невозможным такую ситуацию, т.е. даже если хакнешь CDN, не получится выложить на него подписанные </span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">ключами хэши (3+) бинарника и сам бинарник, если встроенный апдейтер это проверяет. </span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">В то же самое время методы - wccp/перехват ip </span>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">с последующим селективным </span>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">проксированием на оригинал (или без него)</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">легкодостижимы при наличии доступа к сетевому оборудованию </span>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">оператора.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1"> </span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Или есть иллюзии, что логин-пасс и enable отличаются от свича к свичу ?</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">В случае, если вышеописанное правда и сеть оператора Медка проблемная, то проблема не устранена до сих пор и хрен</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">его знает, что еще могло быть перехвачено/перенаправлено даже сейчас.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">Вот пока писал, придумал, что можно через создание ecmp group сделать такой же полу-перехват - работает по-моему</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">вообще на всех L3 свичах топ5 вендоров. DST ip будет выглядеть всегда так же, а трафик будет per session делиться между неск. </span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">серверами. </span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">И это я, без сетевого образования. Представляю что может нафантазировать профильный специалист.</span>
</div>
<div>
<span style="font-size:10pt;line-height:12pt;font-family:Arial;" class="xfmc1">
<br/></span>
</div>
<div>
<i>
<span style="font-size:10pt;line-height:12pt;">
<span style="font-family:Arial;">4 липня 2017, 11:26:34, від "Mike Petrusha" <</span>
<a href="mailto:mp@disan.net" target="_blank" rel="noreferrer noopener">
<span style="font-family:Arial;">mp@disan.net</span>
</a>
<span style="font-family:Arial;">>:</span>
</span>
</i>
</div>
<div>
<br/></div>
<blockquote style="border-left:1px solid #cccccc;margin:0px 0px 0px 0.8ex;padding-left:1ex;">
<span><pre style="margin:5px 0;">И где расположен такой каталист, через к-рый все скачали себе вирус?
В общем, "инсайд" о том, что кто-то залез им на сервер и добавил вирус
в обновление, кажется гораздо более правдоподобным.
--
Mike
2017-07-03 19:16 GMT+02:00 Vladimir Sharun <<a href="mailto:vladimir.sharun@ukr.net" rel="noreferrer noopener" target="_blank">vladimir.sharun@ukr.net</a>>:
> Привет,
>
> Конечно же на BGP будет виден внутренний /32 маршрут или WCCP на (хакнутом)
> каталисте. Получив доступ на более-менее умный свитч с L3 таких делов можно
> натворить, о-ла-ла.
>
> 11 лет назад я сталкивался именно с таким сценарием.
>
>
>
> 3 липня 2017, 20:09:06, від "Mike Petrusha" < <a href="mailto:mp@disan.net" rel="noreferrer noopener" target="_blank">mp@disan.net</a> >:
>
> Hi!
>
> Из нутри чего этот инсайд? Если от пострадавших, то откуда они знают, что
> было или не было на оригинальном сервере?
>
> Или это новости с самого оригинального сервера "тут ничено не было"?
>
> На BGPlay левые маршруты видны?
>
> --
> Mike
>
>
> On 3 Jul 2017 18:52, "Vladimir Sharun" <<a href="mailto:vladimir.sharun@ukr.net" rel="noreferrer noopener" target="_blank">vladimir.sharun@ukr.net</a>> wrote:
>
> Всем привет,
>
> Небольшой инсайд. Внешне произошедшее напоминает route hijack или WCCP. Т.е.
> скомуниздили роут на хост или перехватили на свою проксю вызовы.
> Пострадавшие в логах проксей видят ip upd.me-doc.com.ua честный (какой и
> должен быть) и в логах же payload (330k), которого не было на оригинальном
> сервере апдейта с этим ip.
>
> Вспомнилось кино:
> <a href="https://youtu.be/WEYOJ3d8EnU?t=1h2m24s" rel="noreferrer noopener" target="_blank">https://youtu.be/WEYOJ3d8EnU?t=1h2m24s</a>
>
>
>
> 27 червня 2017, 15:05:02, від "Oles Girniak" < <a href="mailto:oles@uar.net" rel="noreferrer noopener" target="_blank">oles@uar.net</a> >:
>
> хто що знає про нову хвилю "атаки crypto-virus" на Windows?
> Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>
>
> _______________________________________________
> uanog mailing list
> <a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noopener" target="_blank">uanog@uanog.kiev.ua</a>
> <a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noopener" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
>
>
> _______________________________________________
> uanog mailing list
> <a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noopener" target="_blank">uanog@uanog.kiev.ua</a>
> <a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noopener" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a>
</pre>
</span>
</blockquote>
</span></body></html>