Украину частично парализована вирусной атакой.

[AOZ1]

cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881/

 

 

Порадовал INPC корпус в стойке у компании с миллионом клиентов.

Для непосвященных это как ланос у миллиардера. Даже хуже, это инструмент. Скорее как гипсокартонщик с китайским шуруповертом.

[deemage]

с чего всё началось

[AOZ1]

с чего всё началось

 

Переварил все прочитанное, включая отчет ESET. Самый правильный путь у киберполиции сегодня, это каждому из 200 сотрудников паяльник в задницу. Включая уволенных за последний год. Страна бы апплодировала стоя. А кто то может быть и вспомнил, как исходники налево толкнул.

[deemage]

Переварил все прочитанное, включая отчет ESET.

Хороший отчёт, только я например не вижу криминала в передаче кода EDRPOU через cookies на сервер при запросе обновления. Это для тех. поддержки используется и логов. Другое дело, что номер можно было бы и зашифровать.

[InSAn]

Всего навсего остановить работу. Потому что регистрация НН идёт сейчас только через Медок.

Не только. Е-ком еще делает.

 

Кстати, читал, что вроде как сдачу продлили на 15 дней.

 

Добавлено через 7 минут

Хороший отчёт, только я например не вижу криминала в передаче кода EDRPOU через cookies на сервер при запросе обновления. Это для тех. поддержки используется и логов. Другое дело, что номер можно было бы и зашифровать.

 

На сколько я понял, что передает ЕДРПУО не штатное обновление, а бекдор.

 

Добавлено через 2 минуты

Бэкдор был найден в одном из легитимных модулей M.E.Doc и «маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы». Более того, изучив все обновления M.E.Doc, выпущенные в текущем году, специалисты выяснили, что модуль бэкдора содержали как минимум три апдейта:

 

01.175-10.01.176 от 14 апреля 2017 года;

01.180-10.01.181 от 15 мая 2017 года;

01.188-10.01.189 от 22 июня 2017 года.

 

Интересно, что 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора.

 

(с) Х

 

[vinnie]

Переварил все прочитанное, включая отчет ESET. Самый правильный путь у киберполиции сегодня, это каждому из 200 сотрудников паяльник в задницу. Включая уволенных за последний год. Страна бы апплодировала стоя. А кто то может быть и вспомнил, как исходники налево толкнул.

 

Зачем ? Они могут и не знать что сделали/несделали

Мэдок начинался с рашки дырка могла быть у истоков.

 

Второй вариант петя(не вирус) хотел сразу аудиторию для ПО которое мы скоро увидим

[LM]

Тут еще подарок: пришло сообщение на почту - все ключи аннулированы. Предлагают сделать новые, не "медошные"

[MaksymS]

Это разумное решение. А то добровольно еще пол года бы шли. Старыми же ключами может воспользоваться кто угодно и потом доказывай что это был не ты.

[deemage]

На сколько я понял, что передает ЕДРПУО не штатное обновление, а бекдор.

Это всё наши домыслы. Только производитель ПО может сказать какую информацию он передаёт и куда.

Я лишь утверждаю, что передача идентификационных данных клиента в запросе к серверу - это нормально.

 

А вот "короткий" DNS и загрузка обновлений по http без использования SSL - это куда более интересно:

Ложный DNS-сервер в сети Internet

DNS-атаки: полный обзор по схемам атак

Но нашей киберполиции оно не нужно - глухарь.

Змінено 5 липня 2017 користувачем deemage
лёгким движением руки брюки превращаются...

[vinnie]

Это всё наши домыслы.

Но нашей киберполиции оно не нужно - глухарь.

 

www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

 

схемы уже описаны и обсосаны, вопрос только кого посодют

 

ну а вообще вся соль в том, что теперь у кого-то есть список физ-адресов ip-адресов, доменов, внутренней схемы сети почти всех укр физлиц

[samson.ua]

Жорстко у нас працювати в ІТ, особливо коли читаєш те що кажуть в новинах і те що на проф форумах і т.д.

 

Ну не суть. Головна фішка як на мене - всіх масово, добровільно-примусово, посадили на медок. Ну ладно, якось працює, типу як 1С напевно, чесно не користувався ні тим ні тим.

 

Пройшла атака, компанія медок кричить на всіх кутках, що вони супер специ і білі та пухнасті. І що апдейта не було в той день і все таке інше. На протязі тижня практично всі світові лідери виробники security продуктів (антивіруси, фаєрволи і т.д.) роблять свою аналітику і всі кажуть, що таки схоже на медок, мало того у них там і бекдор був, причому давно, який дозволяв керувати системними бібліотеками вінди (уявіть як це чудово мати доступ до rundll32 і мати права аміна, бо багато (більшість ??) бугалтерів-тітоньок-за-50 працювали під адмінськими правами

 

І тут не проходить і декілька днів після вилучення серверів - медок офіційно оголошує, що їх таки взламали , причому це перший раз за всю історію і це були мега-перці-круті-специ (цікаво як вони контролюють свої білди і викладання софта у прод?). Короче, мені дуже прикро насправді, ми як ІТ країна (ну так всім клієнтам себе продаємо) дозволили себе ... взламати.

 

P.S. https://www.facebook.com/medoc.ua/posts/1908536359433942

[InSAn]

Это всё наши домыслы. Только производитель ПО может сказать какую информацию он передаёт и куда.

 

Какие домыслы?

Декомпиляция ESET.

[AndyAntonov]

Кстати, читал, что вроде как сдачу продлили на 15 дней.

Официоз есть? Или слова? Без соответствующего закона (сроки подачи законом устанавливаются, потому изменить их можно тоже только законом) это всё ниачом.

 

Добавлено через 6 минут

Короче, мені дуже прикро насправді, ми як ІТ країна (ну так всім клієнтам себе продаємо) дозволили себе ... взламати.

Делать морду кирпичём дальше. Ведь делают же МС и АНБ в ответ на обвинения, что использованный бэкдор использовал специально посаженный в венду разрабом (т.е. МС) люк? И даже публикацию этого в NYT не оспаривают. Т.е. — правда.

Ну, и, справедливости ради: сильно много ИС продаёт продуктов за пределы страны? Присосались к ГНАУ/ДФС и пользуются этим на всю катушку.

[LM]

Медок вроде работает. Вчера знакомый бух накладные зарегистрировал.

А вот обмен НН между контрагентами - не работает

[AndyAntonov]

Вчера знакомый бух накладные зарегистрировал.

Безбашенный. Наши админы отрубили сервак и повторно его шерстили.

[InSAn]

Безбашенный. Наши админы отрубили сервак и повторно его шерстили.

 

Не скажи... У нас тоже Медок как работал - так и работает. Правда, как обновления ставятся - не в курсе. Возможно, только вручную с предварительной проверкой эвристическим анализатором. Но точно он работает не под админом на совершенно отдельной машине за фаерволом (по защите я не в курсе - наши айтишники отрабатывают хорошо зарплаты )

 

PS: Появился в продаже мастер-ключ для расшифровки. 100 битков.

motherboard.vice.com/en_us/article/evdxj4/notpetya-ransomware-hackers-decrypt-file

[MaksymS]

Жорстко у нас працювати в ІТ

Гроші даремно ніде не платять. А надто ті зарплати, які платять айтішникам, на порядок вищі ніж середні по країні. Тож треба їх відпрацьовувати. А не усім розповідати що та ми ж випустили нове сучасне високоякісне прогресивне оновлення без вірусу, але Кіберполіція забрала сервери, тому ви не можете оновитися... Ну брєд же... А хто вам заважав випускати сучасне високотехнологічне прогресивне оновлення без вірусу раніше? Відсутність уваги Кіберполіції???

[AndyAntonov]

PS: Появился в продаже мастер-ключ для расшифровки. 100 битков.

Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах? Отзывы есть? Помогает только от Пети, или pscrypt тоже раскрывает? Вообще, оригинально: мастер-ключ для расшифровки алгоритма, который такового ключа в теории не содержит. (Правда, как оказалось, что только в теории, было что-то про мастер-ключи к ходовым алгоритмам шифрования.)

[InSAn]

Еще одна интересная статья от сотрудника ESET

m.geektimes.ru/post/290779/

 

Добавлено через 1 минуту

Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах? Отзывы есть?

 

Есть ссылка на статью, в которой сказано, что ESET давал зашифрованный файл и получил расшифрованный.

 

Добавлено через 4 минуты

Вообще, оригинально: мастер-ключ для расшифровки алгоритма, который такового ключа в теории не содержит.

 

Оказывается, есть два типа ключей - один с привязкой к зараженному компу, второй - без привязки. Хотя, есть вариант, что "подсказка" о ключе содержится в зашифрованном файле. А привязка к компу осуществлялась ограниченным набором ключей.

[AndyAntonov]

Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах

250 килбаксов, а не тридцать, фигассе.

[ozzy]

посмотрел видео

 

 

жесть

 

серверная посреди охвиса и охлаждается офисным же вентилятором :D

 

дэнэжное дерево

 

+ сервера понаныканы в проходах а ля к туалету

[InSAn]

дэнэжное дерево

 

На одном из ресурсов читал финансовые показатели...

Учредители - украинские. Но есть хитрость - лицензионные отчисления для двух офшоров.

Данные за 2015 год:

ИС (учредители укр) - доход 4 млн

1 оффшор (владелец укр) - доход 19 млн

2 оффшор (владелец киприот) - доход 42 млн.

 

Ну да. Все верят, что владелец второго оффшора, вошедшего в 2013 году - киприот, который разработал софт Медка.

[deemage]

Какие домыслы?

Декомпиляция ESET.

Декомпилировали. Вот этот код. Дальше что?

Я не вижу никакого криминала и тем более указания на то, что это код вируса. По этой и ряду других причин данный отчёт серьёзно воспринимать не могу, извините.

[ozzy]

вот все видят, а Вы нет. Может пора зрение проверить ?

[InSAn]

Декомпилировали. Вот этот код. Дальше что?

Я не вижу никакого криминала и тем более указания на то, что это код вируса. По этой и ряду других причин данный отчёт серьёзно воспринимать не могу, извините.

 

Читайте оригинал: www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

Или, хотя бы, полный перевод: geektimes.ru/post/290779/

 

 

 

Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева:

 

 

Основной класс бэкдора — MeCom...