Gorod.dp.ua » Міські форуми / Городские форумы
Сторінка 22 з 53 ПершаПерша ... 121314151617181920212223242526272829303132 ... ОстанняОстання
Всього знайдено 1047, показано з 421 по 440.

Тема: WannaCry, Petya.A ...

  1. #421
    Аватар для SergOv
    Реєстрація
    30 березень 2007
    Звідки Ви
    Днепропетровск
    Дописів
    73 229

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    Ну тогда получается вирус написали в самом МЭДке. Или у нас код МЭДка в общем доступе.
    ЗЫ то что у них нет цифровой подписи я уже знаю...
    При чем тут код ?
    Шифровальщик - отдельный исполняемый модуль, который попадает на комп вместе с "медком", поскольку входит в комплект.
    Этот модуль шифрует данные для передачи в налоговую.
    Стандартный модуль может использовать кто угодно, зачем утруждаться, откуда то его загружая ?


    Цитата Допис від Шурик Г. (гость) Переглянути допис
    Да хрен с ней с той эпидемией. А единичных заражений чего нету?
    Нету этого модуля шифрования практически ни у кого, кто не пользует медок.
    А вирус, вполне вероятно - есть.
    Только вот не может он выполнить шифрование, не имея нужного модуля.

  2. #422
    Аватар для Smith
    Реєстрація
    23 квітень 2008
    Звідки Ви
    Make America Great Again
    Дописів
    59 041

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    Да хрен с ней с той эпидемией. А единичных заражений чего нету?
    Ну вот все мои знакомы бухгалтера, которые работают на дому, даже и не знали что могли потерять все свои наработки, работают себе спокойно как и работали, ничего их не затронуло.

  3. #423
    Почетный форумчанин Аватар для Шурик Г. (гость)
    Реєстрація
    24 листопад 2004
    Звідки Ви
    м. Дніпро
    Дописів
    96 267

    Типово

    Серверы обновлений M.E.Doc оказались на хостинге WNet

    Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.

    Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:

    $dig -t any upd.me-doc.com.ua

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10

    ;; QUESTION SECTION:
    ;upd.me-doc.com.ua. IN ANY

    ;; ANSWER SECTION:
    upd.me-doc.com.ua. 59 IN A 92.60.184.55

    ;; AUTHORITY SECTION:
    com.ua. 66991 IN NS ho1.ns.com.ua.
    com.ua. 66991 IN NS nix.ns.ua.
    com.ua. 66991 IN NS ba1.ns.ua.
    com.ua. 66991 IN NS k.ns.com.ua.
    com.ua. 66991 IN NS sns-pb.isc.org.

    Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.

    В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

    Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?

    Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.
    Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:

    whois 92.60.184.55
    [Querying whois.arin.net]
    [Redirected to whois.ripe.net]
    [Querying whois.ripe.net]
    [whois.ripe.net]
    % This is the RIPE Database query service.
    % The objects are in RPSL format.
    %
    % The RIPE Database is subject to Terms and Conditions.
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf

    % Note: this output has been filtered.
    % To receive output for a database update, use the “-B” flag.

    % Information related to ‘92.60.184.0–92.60.184.255’

    % Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘[email protected]

    inetnum: 92.60.184.0–92.60.184.255
    netname: Wnet-Kiev-COLO
    descr: Kiev colocation
    country: UA
    admin-c: WNET2-RIPE
    tech-c: WNET2-RIPE
    status: ASSIGNED PA
    mnt-by: WNET-MNT
    created: 2011–01–04T13:40:08Z
    last-modified: 2011–01–04T13:40:08Z
    source: RIPE

    role: W NET NOC
    address: Wnet LLC
    address: Bohdana Khmelnitskoho 50-b
    address: Kyiv, 01030
    address: Ukraine
    phone: +380 44 5900800
    fax-no: +380 44 2892817
    abuse-mailbox: [email protected]
    remarks: troubles: http://support.wnet.ua
    remarks: troubles: [email protected]

    Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).
    Ау, WNet — неужели мы давали повод считать себя идиотами?

    Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.

    Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

    Итого: идеальное кибер-преступление.
    Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.

    Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.

    Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka

    Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

    https://medium.com/@gray25/%D1%81%D0...t-f3f35db4de73
    Я люблю цю країну навіть без кокаїну.

  4. #424
    Аватар для SergOv
    Реєстрація
    30 березень 2007
    Звідки Ви
    Днепропетровск
    Дописів
    73 229

    Типово

    Цитата Допис від Smith Переглянути допис
    Ну вот все мои знакомы бухгалтера, которые работают на дому, даже и не знали что могли потерять все свои наработки, работают себе спокойно как и работали, ничего их не затронуло.
    А тут - вопрос, чем сетевая версия от локальной отличается.

  5. #425

    Реєстрація
    14 лютий 2008
    Звідки Ви
    Победа/Придник
    Дописів
    974

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    ... это все красивые теории... хотя и верные... но у людей проблема здесь и сейчас, и их нужно решать здесь и сейчас, а разбираться с админами они будут потом....
    У меня на работе эта красивая теория воплощена в жизнь.
    Но мы и Петю пока что не словили, ибо медок обновляется руками и ответственный не спешил обновлять. Распиндяйство спасает голактеку

  6. #426
    Почетный форумчанин Аватар для Шурик Г. (гость)
    Реєстрація
    24 листопад 2004
    Звідки Ви
    м. Дніпро
    Дописів
    96 267

    Типово

    Цитата Допис від Smith Переглянути допис
    Ну вот все мои знакомы бухгалтера, которые работают на дому, даже и не знали что могли потерять все свои наработки, работают себе спокойно как и работали, ничего их не затронуло.
    ... у меня есть одна которая влетела...
    Я люблю цю країну навіть без кокаїну.

  7. #427
    IT-шник года 2009, 2010, 2012, 2013 Аватар для Gobzavr
    Реєстрація
    14 січень 2007
    Звідки Ви
    Чкалова 16, оф 11
    Дописів
    19 488

    Типово

    Цитата Допис від armand Переглянути допис
    Бритва Хэнлона в действии - "Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью".

    Интеллект-Сервис по всему выглядят как некомпетентные идиёты позволяющие своему ПО запускать с наивысшими правами не подписанные сторонние исполняемые файлы.
    Да, то что обновление из под local system работает для того, что бы остановить службу ezvit и заново ее поднять - факт
    То что позволяют за собой тягать левые файлы - я пока подтверждений, кроме жиденьких постов про батники которые тянут за собой неведомую фигню не видел.
    Теоретически как транспорт может использоваться, но как то очень жиденько звучит

    Да, частники пострадали тоже будь здоров, вопреки утверждению смита.
    F1 Service f1service.dp.ua.Ремонт ноутов, ПК и прочих железок, ИТ-сопровождение организаций.
    Тел:7340453,093-99-835-99, 097-222-14-17, 095-476-77-79 Чкалова 16, оф 11

  8. #428
    Аватар для Smith
    Реєстрація
    23 квітень 2008
    Звідки Ви
    Make America Great Again
    Дописів
    59 041

    Типово

    Цитата Допис від Gobzavr Переглянути допис
    Да, частники пострадали тоже будь здоров, вопреки утверждению смита.
    Таварисч гений, вы внимательней читайте, я писал про своих знакомых бухгалтеров, для вас персонально уточняю, это два по работе и третья кума, никакой общей статистики я не выдавал. В эти бухгалтерские дебри я не лезу, я ж не ты, я не пытаюсь обнять весь мир и поцеловать его в .опу. Каждый должен в профессиональном уровне отвечать за своё направление работы.

  9. #429
    Аватар для Александр_L
    Реєстрація
    22 серпень 2007
    Звідки Ви
    г.Днепр, Мих.Шейнкмана
    Дописів
    25 689

    Типово

    Шурик. Не знаете, не вещайте. Медок далеко не единственная и совсем не обязательная программа для сдачи отчётности: iFine, Соната, Арт-Звит (примитивный и заточенный под одного издателя сертификатов, но тем не менее), Приват и собственно ДФС-ный сервис "Электронный кабинет налогоплательщика".
    Другое дело, что под корпорацию написан только Медок.
    И ещё насчёт обязательности. В каждой квитанции о приёме отчётности сидит рекламный текст ДФС приглащающий использовать "Кабинет..."

  10. #430

    Реєстрація
    24 жовтень 2004
    Дописів
    10 051

    Типово

    Насчёт корпоративный сектор vs домашние компьютеры.

    выглядит так: у вируса 3 канала распространения

    1) обновление медок. Для этого хакеры, видимо, взломали сервера и подсунули вирус в свежий апдейт (других вариантов сделать так, чтобы оно начало приходить с апдейтами нету - только взлом).

    Шерлокхолмсовские исследования о коротком TTL, хостинге (если с ним есть проблемы, я не в курсе, то что было написано по поводу wnet - притянуто за уши) и одном сервере без бэкапа - это признаки пофигизма/экономии на спичках, чему в нашей стране удивляться не стоит. Косвенно, возможно именно через эту программу апдейт и пришёл, потому что именно их хакерам и удалось взломать.

    2) письма "типа с резюме". Это ориентировано на HR, в первую очередь.

    3) распространение через уязвимости в smb-протоколе.

    Все 3 канала ориентированы, в первую очередь, на корпоративный сектор, частникам это не нужно. Частники могут только открывать вложения, особенно если там были не только резюме, но и всякие типа открытки с поздравлениями

  11. #431
    Почетный форумчанин Аватар для Шурик Г. (гость)
    Реєстрація
    24 листопад 2004
    Звідки Ви
    м. Дніпро
    Дописів
    96 267

    Типово

    Цитата Допис від sanyok Переглянути допис
    Насчёт корпоративный сектор vs домашние компьютеры.

    выглядит так: у вируса 3 канала распространения

    1) обновление медок. Для этого хакеры, видимо, взломали сервера и подсунули вирус в свежий апдейт (других вариантов сделать так, чтобы оно начало приходить с апдейтами нету - только взлом).

    Шерлокхолмсовские исследования о коротком TTL, хостинге (если с ним есть проблемы, я не в курсе, то что было написано по поводу wnet - притянуто за уши) и одном сервере без бэкапа - это признаки пофигизма/экономии на спичках, чему в нашей стране удивляться не стоит. Косвенно, возможно именно через эту программу апдейт и пришёл, потому что именно их хакерам и удалось взломать.

    2) письма "типа с резюме". Это ориентировано на HR, в первую очередь.

    3) распространение через уязвимости в smb-протоколе.

    Все 3 канала ориентированы, в первую очередь, на корпоративный сектор, частникам это не нужно. Частники могут только открывать вложения, особенно если там были не только резюме, но и всякие типа открытки с поздравлениями
    тогда возникает второй вопрос. Почему вирусописатели ориентировались именно на корпоративный сектор?
    Я люблю цю країну навіть без кокаїну.

  12. #432
    IT-шник года 2009, 2010, 2012, 2013 Аватар для Gobzavr
    Реєстрація
    14 січень 2007
    Звідки Ви
    Чкалова 16, оф 11
    Дописів
    19 488

    Типово

    Почему вирусописатели ориентировались именно на корпоративный сектор?
    Паралич инфраструктуры.
    задача собрать денег не стояла - это так, приятный бонус
    Об этом говорит и единый кошелек биткойн и единый емейл (блочится аж бегом и то и то)

    Вообще вот тут неплохо расписано
    https://habrahabr.ru/company/it-grad/blog/330582
    + каменты
    F1 Service f1service.dp.ua.Ремонт ноутов, ПК и прочих железок, ИТ-сопровождение организаций.
    Тел:7340453,093-99-835-99, 097-222-14-17, 095-476-77-79 Чкалова 16, оф 11

  13. #433
    Почетный форумчанин Аватар для Шурик Г. (гость)
    Реєстрація
    24 листопад 2004
    Звідки Ви
    м. Дніпро
    Дописів
    96 267

    Типово

    Цитата Допис від Gobzavr Переглянути допис
    Паралич инфраструктуры.
    задача собрать денег не стояла - это так, приятный бонус
    Об этом говорит и единый кошелек биткойн и единый емейл (блочится аж бегом и то и то)

    Вообще вот тут неплохо расписано
    https://habrahabr.ru/company/it-grad/blog/330582
    + каменты
    ... а какая задачи стояла?
    Я люблю цю країну навіть без кокаїну.

  14. #434
    Аватар для The Architect
    Реєстрація
    30 березень 2006
    Дописів
    4 523

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    ... а какая задачи стояла?
    Шас придут апологеты мирного руссомира

  15. #435
    Аватар для _FoX_
    Реєстрація
    11 травень 2012
    Дописів
    54 738

    Типово

    а есть ссылка на официальные исследования, а не предположения откуда пошло заражение?

  16. #436
    IT-шник года 2009, 2010, 2012, 2013 Аватар для Gobzavr
    Реєстрація
    14 січень 2007
    Звідки Ви
    Чкалова 16, оф 11
    Дописів
    19 488

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    ... а какая задачи стояла?
    Насрать шоб боялись все
    Ну какая задача была с win.cih?
    F1 Service f1service.dp.ua.Ремонт ноутов, ПК и прочих железок, ИТ-сопровождение организаций.
    Тел:7340453,093-99-835-99, 097-222-14-17, 095-476-77-79 Чкалова 16, оф 11

  17. #437

    Реєстрація
    26 березень 2015
    Дописів
    6 210

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    тогда возникает второй вопрос. Почему вирусописатели ориентировались именно на корпоративный сектор?
    Вот поставьте себя на их место. Наберите базу рассылок писем.

  18. #438

    Реєстрація
    24 жовтень 2004
    Дописів
    10 051

    Типово

    а точно ли они ориентировались?
    Они скорее всего взяли код оригинального Petya 2016 года, допилили функционал, а также по совпадению ломанули один из серверов с обновлениями бухгалтерской программы (или купили в даркнете, ничего кроме бизнеса), допилили туда функционал из WannaCry с сетевыми шарами, получили какой-то код, и всё, а тот факт, что попал корпоративный сектор - это просто совпадение, или следствие из выбранного типа атак.


    Меня, кстати, сильно смущает, что в инете есть инфа, что никто из заплативших $300 не получил ключ (хотя, как эту инфу проверить?)
    Обычно в таких случаях злоумышленники таки дешифруют файлы за деньги, более того, предлагают скидки (частичный moneyback) за положительные отзывы о "сервисе восстановления".
    Если это правда, что деньги не платят, то немедленно появляется теория заговора, что ransom - не основная цель вообще, а прикрытие, чтобы не подумали, что это таки спланированная атака на корпоративный сектор.

    Второе, что смущает - канал для связи по оплате через почту в клиарнете - ну то есть надо быть полным д@билом, чтобы не понимать, что почту забанят практически моментально (и, разумеется, вчера это сделали). Ну, то есть, это тоже подтверждает вариант, что о выкупе не парились.

    update: ну вон, Gobzavr дал ссылку - то же самое на хабре написано, ну да, оно на поверхности лежит
    Востаннє редагував sanyok: 29.06.2017 о 11:20

  19. #439

    Реєстрація
    24 жовтень 2004
    Дописів
    10 051

    Типово

    Цитата Допис від _FoX_ Переглянути допис
    а есть ссылка на официальные исследования, а не предположения откуда пошло заражение?
    почитайте выше, была ссылка на майрософтовский блог, там довольно детально

  20. #440
    Аватар для SevDNDZ
    Реєстрація
    10 червень 2008
    Дописів
    11 299

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    ... а какая задачи стояла?
    Так он же сказал - "паралич".
    Оно вроде бы и смешно, но не очень.

    Грамотно закинуто. Основываясь на предположении, что большинство наших ИТ - вершина экономической мысли типа "жаба", стукнули в самое тонкое место. А дальше начинается домино - нет компа, нет возможности обслужить клиента, нет денег.

    Вчера видел как деучонки пишут в тетрадки продаваемое. Касса - нихт арбайтен. Обслуживание 3х человек - 10 минут.

Сторінка 22 з 53 ПершаПерша ... 121314151617181920212223242526272829303132 ... ОстанняОстання

Bookmarks

Bookmarks

Ваші права у розділі

  • Ви НЕ можете створювати нові теми
  • Ви НЕ можете відповідати у темах
  • Ви НЕ можете прикріплювати вкладення
  • Ви не можете редагувати свої повідомлення
  •  
  Головна | Афіша | Новини | Куди піти | Про місто | Фото | Довідник | Оголошення
Контакти : Угода з користивачем : Політика конфіденційності : Додати інформацію
Главная страница сайта  
copyright © gorod.dp.ua.
Всі права захищені. Використання матеріалів сайту можливо тільки з дозволу власника.
Про проєкт :: Реклама на сайті