leo_sosnine: (Default)
[personal profile] leo_sosnine
Про нового Петю от польской девушки-реверсера Hasherezade:

https://blog.malwarebytes.com/threat-analysis/2017/06/eternalpetya-yet-another-stolen-piece-package/

Уважайу. При этом девочка ещё и открещивается от феминизма, хотя и перепащивает периодически либеральную прекрасную чушь.

Думаю вполне, что это кибероружие, а не рансомварь. Основной аргумент в том, что симметричный ключ шифрования уничтожается, вместо того, чтобы презервироваться в зашифрованном публичным ключом виде с целью последующей расшифровки диска после оплаты выкупа. Эррата Роб аргументирует что это может быть ошибкой -- имхо нереально, это тебе не выход за границы массива, это ошибка в базовой логике. Типа, ну а теперь, для того, чтобы пипл платил мне денежки, я грохну-ка ключ шифрования, чтобы восстановить было нереально. Мудрое решение, ггг!

Метод первоначального распространения -- украинская софтина, также добавляет.

Отсутствие типичнейшей для таких случаев малспам кампании также добавляет.

Маерск и жертвы в РФ, Европе и Америке это collateral damage, нехрен пользоваться украинским софтом, нехрен светить незафайерволленым СМБ в энторнеты, нужно сегментировать сеть.

И да, смотрите какие осторожные выводы и на основе какого эвиденса делаются в этом случае. НИХУЯ ПОДОБНОГО о "русских взломах" ДНЦ и прочего МЫ НЕ ИМЕЕМ. Ни бинарников, ни капч процмона, ни сетевых капч -- НИХУЯ НЕТ, кроме голословных утверждений КраудСтрайк. Отчёт фейковых 17 ведомств -- бессмысленное говно с айпишниками Йаху и нодами Тора. Заверенный Клаппером -- доказанным лжецом перед Конгрессом (утечки Сноудена).

PROOF OR DIDN'T HAPPEN.

Алсо, впервые ЕМНИП в бложеке инфосек смыкается с политикой, думаю, чем дальше, тем такого будет больше.

Date: 2017-06-30 07:21 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>Маерск и жертвы в РФ, Европе и Америке это collateral damage, нехрен пользоваться украинским софтом, нехрен светить незафайерволленым СМБ в энторнеты
-
какой украинский софт может стоять на ТНК шных заправках в Рязани?
Какие SMB в сеть - там все за NAT.
Что связывает турфирму на таганке по продаже туров с украиной?

Просто в РФ молчат шопиздец, между тем полно случаев.
---
>>Думаю вполне, что это кибероружие, а не рансомварь.
-
в серьезных лавках заберут с кассет или сторвайза или как там этот эиулятор кассет зовется. чего тут оружейного?

Date: 2017-06-30 08:31 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>Важно то, что примера малспама нет ни у кого нигде в публичном доступе.
-
вот это да. вирусня есть, а откуда приехала - чота жмутся и мнутся. и это мне совсем не понятно.

(no subject)

From: [personal profile] scif_yar - Date: 2017-06-30 08:45 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-06-30 08:51 pm (UTC) - Expand

Date: 2017-06-30 08:04 pm (UTC)
merig00: (Default)
From: [personal profile] merig00
"Отчёт фейковых 17 ведомств" NYT вчера-сегодня извинились и сказали что ведомств было 4. А еще 14 они приписали для значимости :)

Date: 2017-07-01 12:08 am (UTC)
alexeybobkov: (Default)
From: [personal profile] alexeybobkov
И АП тоже признались, что соврамши. А куда денешься?
http://hosted.ap.org/dynamic/stories/U/US_TRUMP_RUSSIA?SITE=AP&SECTION=HOME&TEMPLATE=DEFAULT&CTIME=2017-06-30-17-32-29

Date: 2017-06-30 08:34 pm (UTC)
From: [personal profile] gb0
С учетом того, как поставлена была безопасность в медке – это могло быть что угодно. Кибероружие – это когда вирусят закрытую сеть, управляющую центрифугами с UF6, и ломают их нафик. Или когда 0day эксплойты или тщательно припасенные бэкдоры натравливают на магистральное инет оборудование или там семерочные коммутаторы. А тут – бабка надвое сказала; поломать сайт с самописным php (5.3.6) говнософтом на 5.1 mysqlе под 12й федорой – реально могут и вполне себе частные лица.

Date: 2017-06-30 09:14 pm (UTC)
From: [personal profile] gb0
Я так понимаю, что натурально кастрировал действо майл-хостер, закрыв нафик ящик...

(no subject)

From: [personal profile] ircicq - Date: 2017-06-30 11:16 pm (UTC) - Expand

Date: 2017-07-01 02:22 am (UTC)
qvb: (Default)
From: [personal profile] qvb
+1

Я тоже так думаю. Тем более что там был еще ряд интересных элементов которые намекают что это была вдумчиво организованная операция.

1. Инсталлятор не работал при обычных правах пользователя.

2. Саппорт этой бухгалтерской компании почему-то говорил кастомерам что мол запускайте под домейн админом и будет вам счастье. Кастомеры следовали инструкциям саппорта и получали заражение всего домейна.

Вопрос - кто надоумил саппорт советовать запускать под домейн админом?

Если бы файл был заражен втемную, то при проблемах с установкой девелоперы бухконторы начали бы разбираться в чем дело, а вовсе не говорить юзерам запускать под домейн админом.

Date: 2017-07-01 10:56 am (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>1. Инсталлятор не работал при обычных правах пользователя.
-
это нормальная ситуация для кривого говна из времен XP.
-
>> почему-то говорил кастомерам что
-
аналогично. потому что залезать в отладку или эту как ее синтентерналовую тулзу всем было лень.

Я такую ситуацию наблюдаю с всяким говнософтом постоянно. Дайте говорят минимум локал админа и все заработает.

Date: 2017-07-01 01:11 pm (UTC)
qvb: (Default)
From: [personal profile] qvb
Есть очень большая разница между локальным админом и домейн админом. Данный инсталлятор почему-то требовал домейн админа.

А заражение сети происходило именно из-за того что вирус ставился домейн админом - при локальном админе это было бы ограничено одной машиной.

Date: 2017-07-01 01:22 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>Есть очень большая разница между локальным админом и домейн админом
-
для локальной машины без кое-какой пляски с бубном - вообще никакой.
Доменные админы включены в локальных, а не создается отдельный контейнер
---
>>почему-то требовал
-
Слышал я этого Карузо - ужасно поет.

(no subject)

From: [personal profile] qvb - Date: 2017-07-01 01:25 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-01 01:59 pm (UTC) - Expand

Date: 2017-07-01 01:25 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>А заражение сети происходило именно из-за того что вирус ставился домейн админом
-
ебаный стыд.жпг
В каком месте у вас СЕТЬ стыкуется с правами доменного администратора?

(no subject)

From: [personal profile] qvb - Date: 2017-07-01 01:27 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-01 01:59 pm (UTC) - Expand

(no subject)

From: [personal profile] qvb - Date: 2017-07-01 02:01 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-01 03:11 pm (UTC) - Expand

(no subject)

From: [personal profile] qvb - Date: 2017-07-01 03:50 pm (UTC) - Expand

Ну да ладно

From: [personal profile] scif_yar - Date: 2017-07-01 03:22 pm (UTC) - Expand

Re: Ну да ладно

From: [personal profile] qvb - Date: 2017-07-01 03:54 pm (UTC) - Expand

тяжко вздохнув

From: [personal profile] scif_yar - Date: 2017-07-01 03:25 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-01 03:52 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] scif_yar - Date: 2017-07-01 04:11 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-01 04:16 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] scif_yar - Date: 2017-07-01 07:58 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-02 01:48 am (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] scif_yar - Date: 2017-07-02 08:16 am (UTC) - Expand

(no subject)

From: [personal profile] anonim_legion - Date: 2017-07-02 07:20 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-02 07:27 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-02 07:31 pm (UTC) - Expand

(no subject)

From: [personal profile] anonim_legion - Date: 2017-07-02 07:32 pm (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-02 08:47 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-03 02:54 am (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] scif_yar - Date: 2017-07-03 05:29 pm (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-05 06:14 am (UTC) - Expand

Re: тяжко вздохнув

From: [personal profile] qvb - Date: 2017-07-01 04:33 pm (UTC) - Expand

Date: 2017-07-01 04:00 pm (UTC)
From: [personal profile] bganiev
У тебя есть выходы на протамповскую аудиторию? Чото Трамп бледно выглядит. Нужно его усилить. А лучшая защита - это нападение.

Трампа обвиняют в том, что якобы россияне его к власти привели. Я тебе в прошлом журнале писал, что Хиллари Клинтон приезжала в Казань, и сняла с должности неснимаемого Шаймиева. Причем прилетела прямо в Казань, в Москву даже не стала заезжать. Со стороны это выглядит так, как будто лидер какой-то страны (Венесуэлы, например) приехал в какой-то Штат, а Вашингтон проигнорировал. Может такое быть? Вот, про это надо задать вопрос.

И да, когда повестка дня сменилась с "Хиллари Клинтон нарушила все нормы безопасности" на "Победу Трампа устроили русские"? Давайте сначала посадим в тюрьму Хиллари, а потом уже возьмемся за Трампа?

Date: 2017-07-01 04:11 pm (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
>>Чото Трамп бледно выглядит. Нужно его усилить.
-
Где он бледно выглядит? В русскоязычной части жж \ дрима или в конгрессе?

Date: 2017-07-01 07:07 pm (UTC)
From: [personal profile] bganiev
Да везде. С мандатом от народа он давно должен был себя развязно вести, чего ждут его избиратели. А он тут постоянно оправдывается перед теми, кто голосовал против него.

Date: 2017-07-02 08:17 am (UTC)
scif_yar: (Default)
From: [personal profile] scif_yar
нет никакого "везде", а уж чего ждут избиратели - как узнали? хрустальный шар? куриный потроха? кофе?

(no subject)

From: [personal profile] bganiev - Date: 2017-07-02 09:31 am (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-02 10:44 am (UTC) - Expand

(no subject)

From: [personal profile] bganiev - Date: 2017-07-02 10:51 am (UTC) - Expand

(no subject)

From: [personal profile] bganiev - Date: 2017-07-02 10:54 am (UTC) - Expand

(no subject)

From: [personal profile] scif_yar - Date: 2017-07-02 11:44 am (UTC) - Expand

(no subject)

From: [personal profile] bganiev - Date: 2017-07-02 12:17 pm (UTC) - Expand

чтение мысле детект

From: [personal profile] scif_yar - Date: 2017-07-02 02:33 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] bganiev - Date: 2017-07-02 03:00 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] scif_yar - Date: 2017-07-02 05:30 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] bganiev - Date: 2017-07-02 07:16 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] bganiev - Date: 2017-07-02 07:27 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] scif_yar - Date: 2017-07-02 07:31 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] bganiev - Date: 2017-07-02 07:58 pm (UTC) - Expand

Re: чтение мысле детект

From: [personal profile] bganiev - Date: 2017-07-03 04:08 pm (UTC) - Expand

(no subject)

From: [personal profile] anonim_legion - Date: 2017-07-02 07:24 pm (UTC) - Expand
(deleted comment)

(no subject)

From: [personal profile] anonim_legion - Date: 2017-07-02 09:17 pm (UTC) - Expand

Date: 2017-07-02 10:08 am (UTC)
kant_elz: (Default)
From: [personal profile] kant_elz
У нас была локальная сеть организации (института), но управление и апдейты мы получали от администраторов HZD (Hessische Zentrale für Datenverarbeitung), то есть администраторов всех сетей в госструктурах земли Гессен. Локально мы никакие апдейты не устанавливали. Возможно, в данном случае была такая же система?

А если у нас работал какой-то специализированный софт, мы получали разрешение опять же от HZD.

Date: 2017-07-03 09:06 am (UTC)
kant_elz: (Default)
From: [personal profile] kant_elz
Спасения нет?

Date: 2017-07-05 10:18 pm (UTC)
kodak2004: (Default)
From: [personal profile] kodak2004
Ну это ваше, инфосековское :)
А вот "Рафик неуиновен" от медка невозбранно доставляет: https://www.facebook.com/medoc.ua/posts/1904044929883085
Page generated Jul. 28th, 2017 06:53 pm
Powered by Dreamwidth Studios