Кропивницкий форум (Кировоградский форум)Кропивницкий — новости и сайтыИскать: все сайты e-mail'ы::Как искать?
Детальный поиск
Например:
Каталог сайтов Кропивницкого :: Новости Кировоградщины new! :: Опросы :: Фото :: Карта Кропивницкого :: Погода :: Поиск :: Знакомства :: Форум :: Вехи Кирнета

WannaCry / Petya.A?

Автор
Сообщение
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 8:02

tartar говорит:
Тем более свою версию про медок-транспорт ты так и не рассказал

Тебя техника интересует? Или что? В статье, что ты дал, техники так же нет. Есть только домыслы про ФСБ, непонятный для писателя малый ТТЛ, и отсутствие логов. На этих выводах основана гипотеза о том, что виновник - Внет. А как думашь - накануне СБУ не могли руткита закинуть, не? Я выше рассказал, что умные - логов не оставляют, ТТЛ малый тоже объяснил. Что еще? Техника? Обычная скомпрометированная система, возможно подмена А записи на NS, что привело к изменению ипишки раздатчика обнов, возможно использование руткита, оставленного СБУ(для того, чтоб, например, Авакян вывел в свет ньюМедок властного выробныцтва), взлом со стороны ФСБ\РФ - маловероятно, т.к. профита нет, им куда выгодней было бы сливать инфу в тихую месяцами, а не шифровать ее ради 10(или скока там оплатили) штук баксов... Да еще массу вариантов можно придумать\обсудить. Но смысл? Мне куда интересней как зараза расходилась внутри организаций.

tartar говорит:
не тебе брать меня на слабО

Так я и не беру и не собираюсь, чисто интересно. Как в твоем случае расползалась зараза и что послужило причиной, кто нулевой пациент? Вот ты же шурупаешь в ИТ, вроде. Я же не думаю, что ты тока бэкапами занимаешься до ночи(да-да, я помню тот твой пост)... Чисто твое мнение: как вирусняк заразил кассы? Девчата на кассах шо письма читают? В ВК сидят? Или у каждой медок стоит и сразу данные в налоговую шлет с каждой кассы?
Если не хо писать тут рассказывать- пиши в ЛС. Только я не пойму, что тут страшного рассказывать и при чем тут "слабо"?
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 13:49

Трикс говорит:
Тебя техника интересует?
Именно, но ты же упорно гнешь в политику.
Цитата:
А как думашь - накануне СБУ не могли руткита закинуть, не?
Да легко.
Что это меняет в технике исполнения?
Цитата:
взлом со стороны ФСБ\РФ - маловероятно, т.к. профита нет, им куда выгодней было бы сливать инфу в тихую месяцами, а не шифровать ее ради 10(или скока там оплатили) штук баксов...
А кто и где писал, что шифрование было ради выкупа?
Картинка с биткоин-кошельками, то для замыливания глаз.
Дестабилизация обстановки в стране - нехилый профит для ФСБ.
Но я не настаиваю.
Еще раз повторюсь - я не зациклен на виновнике.
СБУ, так СБУ. Да хоть лично Порошенко, если тебе так станет легче.
Мне интереснее сама технология.
Да и про инф.атаку на Интеллект-Сервис, я предупреждал их спецов еще когда после сработки предыдущего шифровальщика госорганы начали рассылать сообщения своим подотчетным орагнизациям с требованием прекратить обновлять Медолк, бо там вирус.
Цитата:
Мне куда интересней как зараза расходилась внутри организаций.
По одному из клиентов - могли получить от зараженного Пивдэнного банка ибо упала машина после сразу синхронизации с банком. Антивирь - Аваст фри.
У них же вторая машина - (Медок, 1С + RDP, Каспер фри) не заразилась.
Кстати, среди тех, с кем знаком лично, пока ни одного случая заражения машин с Каспером.
Ну это моя личная статистика. Она не полная.
Цитата:
Как в твоем случае расползалась зараза и что послужило причиной, кто нулевой пациент?
Нулевым пациентом именно вбанках вполне может быть сервер Медка, который отсылает в налоговую инфу об открытии/закрытии счетов.
На то подробнее ответя админы банка, к котрым я не отношусь.
Цитата:
Я же не думаю, что ты тока бэкапами занимаешься до ночи(да-да, я помню тот твой пост)...
Память у тебя может и отличная (а может просто все в блокнотик пишешь), а вот с дедукцией - просто бяда.
Ну то дело десятое и к теме не относится.
Цитата:
Чисто твое мнение: как вирусняк заразил кассы? Девчата на кассах шо письма читают? В ВК сидят?
Незакрытый SMB1, и торжественное возложение прибора на установку патчей ОС даже после WannaCry.
Цитата:
Или у каждой медок стоит и сразу данные в налоговую шлет с каждой кассы?
Так Медок был одним из путей заражения, но не единственным. Стоит ли его лепить ко всем случаям?
Тем более, что походу они тоже нехило пострадали - лежит и Медковский сайт и сайт местного дилера.
Цитата:
Только я не пойму, что тут страшного рассказывать и при чем тут "слабо"?
На то они и детали, что их разглашение чревато.
Это же банки.
Может тебе еще и админских учеток со структурой сети набросать в ЛС?
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 14:53

tartar говорит:
Именно, но ты же упорно гнешь в политику.

Так а что в технике? Как взламывали серваки? Да я ХЗ. Брутили, мож кто с уволенных\недовольных админов Медка\Внета слил инфо. Мож СБУ залило руткит. Далее все просто. Банальная подмена файла обновки, который лезет на нулевого пациента конторы. А дальше уже по описанному мелкософтами алгоритму. Вот и вся техника. Или что ты имел ввиду?

tartar говорит:
Что это меняет в технике исполнения?

Техника исполнения: скомпроментированный сервак у хостера, либо подмена А записи танграмма(медок там домен держит). Это тебя интеерсовало или че? В статье тоже техника никакая не описана есличе.

tartar говорит:
Кстати, среди тех, с кем знаком лично, пока ни одного случая заражения машин с Каспером.
Ну это моя личная статистика. Она не полная.

С тобой мы знакомы уже давно. Добавлю в твою копилку eset.
Хм. фриантивири в банках... Цикаво...
tartar говорит:
Незакрытый SMB1, и торжественное возложение прибора на установку патчей ОС даже после WannaCry.

Подтверждение фэйла UA.IT.
tartar говорит:
Так Медок был одним из путей заражения, но не единственным. Стоит ли его лепить ко всем случаям?

Мое мнение: медок это таки путь заражения нулевого пациента. А далее уже распространение идет по незакрытым шарам винды. Ну вот любят админы, шоб не бегать - расшаривать папки на ПК. А еще любят располагать кассы, бух. ПК, камеры и т.п. в оном влане\подсети, не используя сегментирование сети. Также юзают не тонкие клиенты, подключаемые по РДП к серву, а обычные железяки с виндой, что и привело к ыздецу на кассах.... Нет резервирования(кластеризация, виртуализация, правильная маршрутизация), нет понятия о бэзпэке, о сегминтации, о бродкаст сегментах, о широковещательных штормах.... Вот они админы за 200 баксов.

tartar говорит:
Может тебе еще и админских учеток со структурой сети набросать в ЛС?

Да не надо мне этих данных. Своих с головой, еще голову засорять твоими Very Happy

Мне чисто спортивный интерес о том как вирус расползся. Что я знаю:
Вирус расползся если:
включены шары
нет обнов с заплаткой от мелкомягких
все ПК в одном бродкасте
Зиля, Аваст, Зонтик красный(не помню как называется), дрвеб - вирус прошел
Есет НОД - не пропустил при скачке обнов. Сразу упаковал в карантин.
единственная контора, на которой стаял Аваст, обнова медка качалась в 12-00, шары выключены, заплатки не было - пронесло. Но это единственный случай, когда пронесло систему с кучей дыр, что мне известен.

Что можешь добавить?
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 15:45

Трикс говорит:
Так а что в технике? Как взламывали серваки?
Здесь есть неплохое исследование про Медок.
https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Но Медок - это только один из путей, хотя и самы массовый.
Цитата:
С тобой мы знакомы уже давно. Добавлю в твою копилку eset.

Насколько мне известно в Креативе ранее был eset.
Сейчас не знаю. Bishop, думаю, знает наверняка.
У одних крупняков - тоже eset.
У них все чисто, но... там все компы с Медком были выключены в момент атаки, бухи были в отпуске.
Т.ч. не показательно.
Цитата:
Хм. фриантивири в банках... Цикаво...
Где я писал про фряхи в банках?
Не придумывай. Временно отключи дедукцию, она о тя хромает.
Не может же быть банк всего лишь с двумя машинами. Wink
Цитата:
Мое мнение: медок это таки путь заражения нулевого пациента. А далее уже распространение идет по незакрытым шарам винды.

Второе точно да. Первое частично, т.к. это только один из путей.
Цитата:
Вирус расползся если:
включены шары
Есть такое.
Цитата:
нет обнов с заплаткой от мелкомягких
+
Цитата:
все ПК в одном бродкасте
Не могу ни подтвердить, ни опровергнуть. Но в моих случаях таки да.
Цитата:
Зиля, Аваст, Зонтик красный(не помню как называется), дрвеб - вирус прошел
Добавлю сюда корпоративный Симантек.
Цитата:
Есет НОД - не пропустил при скачке обнов. Сразу упаковал в карантин.
Хз. Проверить не удалось. Предположительные 0-машины были отключены.
Цитата:
единственная контора, на которой стаял Аваст, обнова медка качалась в 12-00, шары выключены, заплатки не было - пронесло. Но это единственный случай, когда пронесло систему с кучей дыр, что мне известен.
Из доброго десятка знакомых бухгалтеров, работающих на дому (у всех разные антивири, большинство - фри) - пронесло всех, хотя в час Хэ все были включены.
По ссылке выше пишут, что затейники этого шухера готовились заранее и имели нехилую базу кодов ЄДРПОУ, по которым и могли фильтровать кого стоит заражать, а кого нет. Этим и можно обьяснить масовость заражения корпоративного сектора и нечастые случаи заражения всякой мелочевки.
Цитата:
Что можешь добавить?
Добавлю: перестань лепить сюда политику. Тем более, что версия с убийством Медка - вполне реальна.
Кодерам нужно платить, дабы они не переметнулись к конкуре со всеми вытекающими. Wink
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 18:15

Нацполіція вилучила сервери компанії M.E.Doc Більше читайте тут: https://tsn.ua/ukrayina/policiya-viluchila-serveri-kompaniyi-m-e-doc-cherez-rozsliduvannya-kiberataki-955888.html
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 19:38

tartar говорит:
Здесь есть неплохое исследование про Медок.
https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

Оч. интересный ссыль. Благодару. Действительно хитрО...

tartar говорит:
Добавлю: перестань лепить сюда политику.

А куда ж без нее родимой Very Happy
tartar говорит:
Кодерам нужно платить, дабы они не переметнулись к конкуре со всеми вытекающими.

Админам тоже Wink А не как в облдерж. 4500 Smile Да и вообще в век ИТ жалеть на инфраструктуру....
Bishop говорит:
Нацполіція вилучила сервери компанії M.E.Doc

О, норм тема. Интересно, будут доить или появится Х.О.Лодок? Very Happy

UPD.
Цитата:
Глава СБУ отметил, что из того, что установлено на сегодняшний день, к организации этой атаки причастны хакерские группировки, которые в свое время атаковали украинские энергетические предприятия и финансовые учреждения при помощи вирусов, в том числе “Blackenergy”.

“Все это было сделано под видом финансовой цели (вымогательства средств – ред.), а на самом деле цель была – дестабилизация ситуации внутри нашего государства”, – подчеркнул глава украинской спецслужбы.


UPD2. «Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру Считай перепичатка ссыля тартара.
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 21:21

tartar говорит:
...
Насколько мне известно в Креативе ранее был eset.
Сейчас не знаю. Bishop, думаю, знает наверняка.
У одних крупняков - тоже eset.
...

да у всех крупняков нод, не видел других. //я уже года три не креативе, но думаю там особо не поменялось.
Ответить с цитатой
СообщениеВт, 04 Июл, 2017 22:41

Bishop говорит:
да у всех крупняков нод, не видел других.
Сотрудничаю с одним агрохолдингом - там Каспер (+никаких шар по беспределу) и никаких проблем.
Сеть ломбардов - Каспер (все на ХР) и никаких проблем.
В банках - очень часто Симантек и проблемы, как вижу, есть.
Агросоюз (уже конечно не крупняк) - Симантек (проблем вроде нет, не звонили).
Шо они в нем находят, не понимаю.
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 8:32

могу спросить, не интересовался. я думаю в основном из-за меньшей прожорливости в ресурсах(много ПК разных конфиг от древних до новых), простотой корпоративного обновления и доступностью.
я так понимаю, но тоже не вникал, проблемы были у тех что не изолировал медки и клиент банки. все в одной сетке/на одном серваке - тютю.
имхо проблем не было у тех кто просто не пользовался/не обновлял/ не работал в момент волны.
антивир тут не первое дело - или может были случаи когда предприятие было "атаковано", но каспер/другое остановил угрозу? честно интересуюсь.
пострадали крупные только потому что там три-пять сотен тазиков в сетке и полюбе кто-то в чем-то ковырялся из задействованных в атаке софтин.
а мелкие - при стечении обстоятельств "попасть под струю", запустив на единственном тазике обновление медка именно тогда когда он был переведен на заражение.
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 10:48

Все вангуете, а вот вчера Аваков сообщил о второй "атаке" вируса Smile
http://itc.ua/news/ukrainskie-pravoohraniteli-predotvratili-vtoruyu-volnu-kiberataki-virusom-petya-a/
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 10:55

filinn говорит:
Все вангуете, а вот вчера Аваков сообщил о второй "атаке" вируса :)
http://itc.ua/news/ukrainskie-pravoohraniteli-predotvratili-vtoruyu-volnu-kiberataki-virusom-petya-a/

уже шутили что киберполиция остановила вторую волну пети изъяв сервера медка)
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 14:25

У кого выжил Медос не расслабляемся
http://www.bbc.com/ukrainian/news-40507729
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 15:15

Общался с ребятами из одного из банков РФ, у них стоит Касперский, за день до атаки пришли обновления сигнатур
в день атаки - четко отловил Петю. Заражения по компьютерам нет

о том что Касперский сотрудничает с ФСб - статей полно
А о том что в этой же Лаборатории писали вири - писали еще лет 10 назад

Так что выводы можно делать
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 16:11

И еще одна фигня.
Каспер начал находить вирус в библиотеке Медка только после публикации исследования Eset.
А все десять дней после выхода 189 обновления Медка почему-то не находил. Confused
Впрочем как и сам Eset.
Хотя, таки да, все мои клиенты с каспером выжили.
Сегодня запустил медок на вируалке с фришным каспером, так каспер сразу убил его библиотеку.
Ответить с цитатой
СообщениеСр, 05 Июл, 2017 16:44

судя по инету нод уже тоже убивает библиотеку медку, после чего медок не работает - что не сделали конфискацией - добили антивирусы)
Показать сообщения:   
Страница 4 из 7
Перейти:  
Каталог сайтов Кропивницкого :: Новости Кировоградщины new! :: Опросы :: Фото :: Карта Кропивницкого :: Погода :: Поиск :: Знакомства :: Форум :: Вехи Кирнета
bigmir)net TOP 100 Кировоград — новости и сайты
Информация:
» О проекте
» Реклама в Р.К.С.
» Подсказки / ЧаВо
» Родственные ресурсы
 Владельцам ресурсов:
» Добавить свой ресурс
» Изменить информацию
» Напомнить пароль
» Опубликовать новость
 Дополнительно:
» Правила и условия
» Свяжитесь с нами
» RSS, информеры и кнопки
» Кировоградские юзербары
Copyright © 2018 студия dela design
Сайт размещен в dela link