ВИФ2 NE: Ветка : Re: вообше-то грядет...

От	nicoljaus
К	Alpaka
Дата	09.03.2021 11:02:50
Рубрики	Спецслужбы; Локальные конфликты;

Re: вообше-то грядет...

>Вроде, с СоларВинд выяснилось-это был пароль выставленный каким-то чешским
>студентом-практикантом.

Вы, видимо, не понимаете что такое "хакерская атака". Это не какой-то петросян зашел по паролю solarwinds123 и написал "Обама Чмо! Путин и Трамп крутые!" это специально написанный malicious code, который внедрили в софт компании.

От	Alpaka
К	nicoljaus (09.03.2021 11:02:50)
Дата	09.03.2021 15:22:30

Re: вообше-то грядет...

я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .
Alpaka

От	AMX
К	Alpaka (09.03.2021 15:22:30)
Дата	09.03.2021 15:56:20

Re: вообше-то грядет...

>я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .

Там всё хуже. Был использован коммерческий софт для "играния в хакера", ну т.е. для сотрудников IT безопасности. )))))) И неизвестный им "загрузчик", коих хакеры и типо хакеры(пользуясь готовыми инструментами) рождают пачками непрерывно.

От	nicoljaus
К	AMX (09.03.2021 15:56:20)
Дата	09.03.2021 16:11:47

Re: вообше-то грядет...

>Там всё хуже. Был использован коммерческий софт для "играния в хакера", ну т.е. для сотрудников IT безопасности. ))))))

"Лаборатория Касперского" что-то свосем о другом пишет: This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers
https://securelist.com/sunburst-backdoor-kazuar/99981/

От	AMX
К	nicoljaus (09.03.2021 16:11:47)
Дата	09.03.2021 16:56:12

Re: вообше-то грядет...

>"Лаборатория Касперского" что-то свосем о другом пишет: This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers
> https://securelist.com/sunburst-backdoor-kazuar/99981/

Cobalt Strike BEACON это коммерческий продукт https://www.cobaltstrike.com/
Давно полюбившийся "скрипт-кидди" как готовый, доступный и стабильный продукт. Чем продукты писанные "энтузиастами" не особо отличаются, т.к. создаются детьми, насмотревшимися матриц. А за специальный серьезный софт надо платить и немало.
Касперский пишет про загрузчик, который вероятные партнеры обозвали "уникальным", а по факту это опять давно известный инструмент написанный на .Net

На .Net Карл! )))

От	nicoljaus
К	AMX (09.03.2021 16:56:12)
Дата	09.03.2021 17:03:22

Re: вообше-то грядет...

>Cobalt Strike BEACON это коммерческий продукт https://www.cobaltstrike.com/

Я не очень понимаю, что вы пытаетесь сказать. Типа, если на одном из этапов взлома использовали ходовой продукт, то это уже вроде как и не взлом? Типа если запасной магазин к "калашу" примотан синей изолентой, то уже сразу не перестрелка, а страйкбол?

>На .Net Карл! )))

И что?

От	AMX
К	nicoljaus (09.03.2021 17:03:22)
Дата	09.03.2021 17:30:22

Re: вообше-то грядет...

>Я не очень понимаю, что вы пытаетесь сказать. Типа, если на одном из этапов взлома использовали ходовой продукт, то это уже вроде как и не взлом? Типа если запасной магазин к "калашу" примотан синей изолентой, то уже сразу не перестрелка, а страйкбол?

Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.
Это стоит копейки, можно под каждую атаку создавать индивидуальный софт. Почему не написать к этому софту драйвер, чтобы он скрывал зловреда на уровне ядра от возможности его обнаружить со стороны ОС? Как бы серьезно подойти к вопросу. Не говоря уже о таких вещах как взлом сетевого оборудование и внесение в их код изменений.

Почему нужно работать как дети, которые не являются специалистами в программировании и даже С++ не осилили?

Можно конечно поконспироложить и сказать, что это делается специально, чтобы не был виден системный подход.
Ну так и все обвинения тогда смешны, если это мог сделать даже ребенок.

От	tarasv
К	AMX (09.03.2021 17:30:22)
Дата	10.03.2021 06:03:10

Re: вообше-то грядет...

>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно

Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

>, а хотя бы на C++.

Современные плюсы конечно сильно продвинулись но managed код все равно надежней и дешевле.

Орфографический словарь читал - не помогает :)

От	AMX
К	tarasv (10.03.2021 06:03:10)
Дата	10.03.2021 19:09:18

Re: вообше-то грядет...

> Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
Из "скрытности" только использование строковых переменных в Base64.

Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?
У меня по этому поводу вопрос - куда смотрят наши правоохранители, когда эти товарищи, весьма огульно стряпают "доказательства" участия России?

Данный код содержал полноценный бэкдур.

Вторая история это TEARDROP и BEACON, и типа по первому, второй это коммерческий софт, товарищи прослеживают связь с якобы русской хакерской группой, т.к. раньше им же приписывали авторство похожих зловредов.

От	tarasv
К	AMX (10.03.2021 19:09:18)
Дата	10.03.2021 20:57:53

Re: вообше-то грядет...

>Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
>Из "скрытности" только использование строковых переменных в Base64.

Еще небось и style guide компании соблюдали чтобы код в глаза не бросался ;) Но в чем тогда ваша претензия к использованию именно шарпа для этого если троян собирался и паковался в инсталлятор билд процессом самой компании? На чем там были исходники на том и написали, все сделано грамотно. Но бардак в релиз менеджменте у SolarWind конечно тоже имеет место быть.

>Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?

Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

Орфографический словарь читал - не помогает :)

От	AMX
К	tarasv (10.03.2021 20:57:53)
Дата	10.03.2021 22:21:03

Re: вообше-то грядет...

> Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

https://habr.com/ru/company/varonis/blog/534984/

Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
В контексте спора был Касперский, я не посмотрел внимательно.

От	tarasv
К	AMX (10.03.2021 22:21:03)
Дата	11.03.2021 00:00:54

Re: вообше-то грядет...

>Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
>В контексте спора был Касперский, я не посмотрел внимательно.

Да, Хабр уже не торт. Как и предполагалось, типичный надмозг переводил. Оригинал:

When we look inside the malicious DLL, we see that the attacker had stealth in mind. They went to a lot of effort to use code that would blend in with the rest of Orion’s source code, using well-written arguments and generic, unsuspicious class and method names like “initialize,” and “job.”

Как видим все о чем написал Шимол в блоге Varonis это то что исходник не выбивался из общего стиля кода и поэтому не бросался в глаза. По меньшей мере его интерфейсная часть точно. Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Орфографический словарь читал - не помогает :)

От	AMX
К	tarasv (11.03.2021 00:00:54)
Дата	11.03.2021 12:53:26

Re: вообше-то грядет...

>Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Вы не поняли, на скрипт-кидди был разговор по загрузчику и тулзе. И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось. Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...

От	tarasv
К	AMX (11.03.2021 12:53:26)
Дата	11.03.2021 19:59:26

Re: вообше-то грядет...

>И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось.
>Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...

Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind. Значит исходник бэкдора был в их репозитории. Если его удалить то никакого "до бесконечности" не будет, при следующем обновлении dll будет заменена на версию без бэкдора у всех кастомеров подписанных на обновления.

Орфографический словарь читал - не помогает :)

От	AMX
К	tarasv (11.03.2021 19:59:26)
Дата	11.03.2021 20:55:53

Re: вообше-то грядет...

> Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind.

Подчищать следы, которые оставлены при взломе самой SolarWind, т.е. деятельности, которая и привела к искомому результату - помещения своего кода в репозитарий.

От	nicoljaus
К	AMX (09.03.2021 17:30:22)
Дата	09.03.2021 17:39:46

Re: вообше-то грядет...

>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.

На "КГБ" работают обычные киберпреступники со своими стандартными приемами, которые работают - "и не трогай".

"Когда мы заглядываем внутрь вредоносной DLL, мы видим, что злоумышленники сделали ставку на скрытность. Они приложили немало усилий, чтобы написать код, который гармонировал бы с остальной частью исходного кода Orion, используя хорошо написанные аргументы и общие, не вызывающие подозрений имена классов и методов, такие как «Initialize» или «Job»."

От	AMX
К	nicoljaus (09.03.2021 17:39:46)
Дата	09.03.2021 18:03:27

Re: вообше-то грядет...

>>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.
>
>На "КГБ" работают обычные киберпреступники со своими стандартными приемами, которые работают - "и не трогай".

>"Когда мы заглядываем внутрь вредоносной DLL, мы видим, что злоумышленники сделали ставку на скрытность. Они приложили немало усилий, чтобы написать код, который гармонировал бы с остальной частью исходного кода Orion, используя хорошо написанные аргументы и общие, не вызывающие подозрений имена классов и методов, такие как «Initialize» или «Job»."

Это смешно. На вас может и действует, но мне смешно. Писатели вашей цитаты это говорят о программе, написанной на .Net, сопровождая картинками декомпилятора ILSpy. Декомпилятора!
О какой скрытности можно говорить, если код, написанный на .Net декомпилируется в исходные коды. Да там можно обфусцировать текст, т.е. заменить человеческие названия функций, классов и данных, на машинные, но блин это всё равно исходный код.

Программу, написанную на том же C/C++, которая компилируется в инструкции процессора невозможно декомпилировать обратно в тот же самый код, можно только дизассемблировать, т.е. прератить в код ассемблера, что равно человеческому написанию команд процессора или максимум в псевдо С код. Любую программу нельзя. А можно написать такую которая будет изменять свой код во время выполнения и очень много чего. Анализ которого потребует кучу специалистов и времени, который в описываемом случае делается за один клик в дисассемблере.
Т.е. одна смена языка программирования затруднила бы исследование программы больше, чем пытались сделать они.

От	nicoljaus
К	AMX (09.03.2021 18:03:27)
Дата	09.03.2021 18:10:53

Re: вообше-то грядет...

>Это смешно. На вас может и действует, но мне смешно.

О, я вспомнил. Вы с тем же апломбом утверждали, что цифры Кривошеева по потерям завышены (!) а обвинения в занижении потерь "смотрятся смешно".

Я, кстати, все жду от вас имена настоящих специалистов к которым надо обратиться за антивирусом. Потому как у "Касперского" почему-то пишут не про детские игрушки, а так:

"Это сложная таргетированная атака, разбор которой пока лишь начинается: в отчетах FireEye, «Лаборатории Касперского» и Microsoft раскрыта далеко не вся схема работы вредоносного кода. Но определенно это одна из самых успешных атак на цепочку поставок с идеально подобранной точкой входа в корпоративную инфраструктуру."

От	AMX
К	nicoljaus (09.03.2021 18:10:53)
Дата	09.03.2021 18:19:24

Re: вообше-то грядет...

>Я, кстати, все жду от вас имена настоящих специалистов к которым надо обратиться за антивирусом. Потому как у "Касперского" почему-то пишут не про детские игрушки, а так:

Вам надо поучиться программированию. На уровне чайника хотя бы. Тогда вам не придется сомневаться. Я о элементарных вещах говорю.

От	nicoljaus
К	AMX (09.03.2021 18:19:24)
Дата	09.03.2021 18:31:58

Re: вообше-то грядет...

>Вам надо поучиться программированию. На уровне чайника хотя бы. Тогда вам не придется сомневаться. Я о элементарных вещах говорю.

Вам надо срочно основать свою компанию по кибербезопасности. Выкините с рынка "Касперского", Varonis и прочих не умеющих программировать.

От	AMX
К	nicoljaus (09.03.2021 18:31:58)
Дата	09.03.2021 18:54:43

Re: вообше-то грядет...

>Вам надо срочно основать свою компанию по кибербезопасности. Выкините с рынка "Касперского", Varonis и прочих не умеющих программировать.

Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз
https://ru.stackoverflow.com/questions/337719/%D0%9E%D0%B1%D1%84%D1%83%D1%81%D0%B0%D1%86%D0%B8%D1%8F-%D0%BA%D0%BE%D0%B4%D0%B0-%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%BE%D1%82-%D0%B4%D0%B5%D0%BA%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%86%D0%B8%D0%B8

Условный "Касперский", который написал этот текст, пишет это для вас, а не для специалистов, раздувая щеки. Он же не может начать рассказывать, что борется с детьми, которые могут обходить его механизмы распознавания вирусов простым изменением небольшого участка кода программ.

Меня в безопасники не возьмут, там только те, кто в школе плохо учился. А как выглядит реальная защита, я выше написал, но вы наверное не читали.

От	nicoljaus
К	AMX (09.03.2021 18:54:43)
Дата	09.03.2021 19:01:30

Re: вообше-то грядет...

>Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз

Вы столько времени потратили здесь, стуча клавишами. Лучше тисните статью где-нибудь на "Хабре" (хотя бы), разоблачите детей-хакеров, Касперского и прочих. Посмотрим, что люди скажут.

От	AMX
К	nicoljaus (09.03.2021 19:01:30)
Дата	09.03.2021 19:06:23

Re: вообше-то грядет...

>>Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз
>
>Вы столько времени потратили здесь, стуча клавишами. Лучше тисните статью где-нибудь на "Хабре" (хотя бы), разоблачите детей-хакеров, Касперского и прочих. Посмотрим, что люди скажут.

Это не нужно, все что я написал это простые вещи, которые все и так знают.

От	nicoljaus
К	AMX (09.03.2021 19:06:23)
Дата	09.03.2021 19:16:33

Ладно, поздравляю, обсуждение успешно зафлужено (-)

От	nicoljaus
К	Alpaka (09.03.2021 15:22:30)
Дата	09.03.2021 15:24:49

Re: вообше-то грядет...

>я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .

А откуда у вас этот код и как вы его анализировали?

От	Alpaka
К	nicoljaus (09.03.2021 15:24:49)
Дата	09.03.2021 16:29:34

КОшка бросила котят-ето Путин виноват

еще за прошлые обвинения о вмешательстве в выборы в 2016 и в 2020(!)
доказательств не привели. Типа, секретно. Это ерунда. Насчет вирусов и ки-логгеров-
вообще не дождемся.

Алпака

От	nicoljaus
К	Alpaka (09.03.2021 16:29:34)
Дата	09.03.2021 16:56:40

Пошли аргументы уровня "босх" (-)

От	Alpaka
К	nicoljaus (09.03.2021 16:56:40)
Дата	09.03.2021 19:48:45

Ре: Пошли аргументы...

Я не программист-безопасник, и не представляюсь им.
Однако, я в свое время логично предположил, что такие "обвинения" будут против России постоянно, особенно после того, как "атака 2016 года на Дем Партию и вмешательство в выборы" когда все сделали вид "что все так и было" (при том что сам Зукерберг говорил о $70000, большинство которых было потрачено после выборов).
И я оказалася прав.

Алпака

От	nicoljaus
К	Alpaka (09.03.2021 19:48:45)
Дата	09.03.2021 22:07:26

Ре: Пошли аргументы...

>Я не программист-безопасник, и не представляюсь им.

Дык я тоже. Но есть опыт программирования и за новостями в IT я слежу.

>Однако, я в свое время логично предположил, что такие "обвинения" будут против России постоянно, особенно после того, как "атака 2016 года на Дем Партию и вмешательство в выборы" когда все сделали вид "что все так и было" (при том что сам Зукерберг говорил о $70000, большинство которых было потрачено после выборов).
>И я оказалася прав.

Я реально не понимаю, что там за "Зукерберг" и "$70000". Взлом демпартии (вскрывший как они топили Сандерса в пользу клинтонихи) определенно помог Трампу выиграть выбры 2016 года.

От	Alpaka
К	nicoljaus (09.03.2021 22:07:26)
Дата	10.03.2021 00:19:42

Ре: Пошли аргументы...

>Я реально не понимаю, что там за "Зукерберг" и "$70000". Взлом демпартии (вскрывший как они топили Сандерса в пользу клинтонихи) определенно помог Трампу выиграть выбры 2016 года.
Ну, тогда и Ассанжа в КГБ записывайте, как Гуццифера.
Там время записи файлов указывало что копировали на флешку.

Алпака

От	nicoljaus
К	Alpaka (10.03.2021 00:19:42)
Дата	10.03.2021 08:57:24

Ре: Пошли аргументы...

>Ну, тогда и Ассанжа в КГБ записывайте, как Гуццифера.
>Там время записи файлов указывало что копировали на флешку.

Вы какие-то мемчики для внутреннего употребление пересказываете. Для всех остальных они непонятны.

От	AMX
К	nicoljaus (09.03.2021 11:02:50)
Дата	09.03.2021 11:59:59

Re: вообше-то грядет...

>Вы, видимо, не понимаете что такое "хакерская атака". Это не какой-то петросян зашел по паролю solarwinds123 и написал "Обама Чмо! Путин и Трамп крутые!" это специально написанный malicious code, который внедрили в софт компании.

А что это меняет? Нашли сканирующим ботом пароль на счет раз-два-три к серверу обновлений.
А дальше, в если это какой-то стандартный сервис обновлений, а это на 99.99999% так, положили туда установщик троянов, кейлогеров и прочих интересных вещей. Которые их же софт и установил.
Или заразили этим исполняемый файл или библиотеку. А все остальное сделал их же софт, успешно обновив.

Задача посильная для малолетних "петросянов" аля "скрипт-кидди" и ничем не отличается от стандартных для них способов заражения компьютеров домохозяек и им достаточно готовых инструментов, которые они привыкли использовать.

Когда внедряется "специально написанный", то вы так быстро это не найдете. Хотя бы потому что к тому времени, когда вы найдете уязвимость простого пароля сервера обновлений, ничего стремного на нем уже не будет, также как и на компьютерах пользователей.

От	nicoljaus
К	AMX (09.03.2021 11:59:59)
Дата	09.03.2021 12:28:07

Re: вообше-то грядет...

>А что это меняет?

Для тех, кто в курсе истории - ничего. Для тех, кто поверил, что никакой атаки не было, а был просто плохой пароль - сильно меняет.

>Нашли сканирующим ботом пароль на счет раз-два-три к серверу обновлений.

Да, возможно и так.

>А дальше, в если это какой-то стандартный сервис обновлений, а это на 99.99999% так, положили туда установщик троянов, кейлогеров и прочих интересных вещей. Которые их же софт и установил.
>Или заразили этим исполняемый файл или библиотеку. А все остальное сделал их же софт, успешно обновив.

Я свечку не держал, но пока речь идет не о готовом стандартном трояне/кейлоггере.

>Когда внедряется "специально написанный", то вы так быстро это не найдете.

Так именно что долго не могли найти: the hackers were able to spy on the companies and federal agencies for months.

От	AMX
К	nicoljaus (09.03.2021 12:28:07)
Дата	09.03.2021 13:29:25

Re: вообше-то грядет...

>Я свечку не держал, но пока речь идет не о готовом стандартном трояне/кейлоггере.

Вот заставили полезть глубже и почитать.

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Трояна с стандартным ботнетом на Beacon им повесили. Последнее можно считать подтверждением "петросянов".
А не заметили их сразу потому что сама SolarWinds заставляла пользователей вносить свой софт в исключения для антивирусов. Иначе говоря обычный антивирус засек бы зловреда, если бы гениальные товарищи из SolarWinds заранее не позаботились чтобы антивирус не смотрел на их файлы.

https://www.real-sec.com/2020/12/fireeye-breach-leveraged-solarwinds-orion-software/

От	nicoljaus
К	AMX (09.03.2021 13:29:25)
Дата	09.03.2021 13:40:21

Re: вообше-то грядет...

>Вот заставили полезть глубже и почитать.Трояна с стандартным ботнетом на Beacon им повесили. Последнее можно считать подтверждением "петросянов".

Вы как-то избирательно читате: Multiple SUNBURST samples have been recovered, delivering different payloads. In at least one instance the attackers deployed a previously unseen memory-only dropper we’ve dubbed TEARDROP to deploy Cobalt Strike BEACON.

>А не заметили их сразу потому что сама SolarWinds заставляла пользователей вносить свой софт в исключения для антивирусов.

Вы так пишите, как будто это что-то неслыханное. Так-то регулярно приходится антивирь вырубать. Ну и попалили далеко не только SolarWinds, Микрософт тоже неплохо так поучаствовала.

От	AMX
К	nicoljaus (09.03.2021 13:40:21)
Дата	09.03.2021 14:14:13

Re: вообше-то грядет...

>Вы как-то избирательно читате: Multiple SUNBURST samples have been recovered, delivering different payloads. In at least one instance the attackers deployed a previously unseen memory-only dropper we’ve dubbed TEARDROP to deploy Cobalt Strike BEACON.

Это индустрия. Создание различных инструментов, новых троянов, создание крипторов и других инструментов, маскирующих известных зловредов, пущено на поток и доступно по прайсу. А Beаcon им поставили, определяемый антивирусом, т.е. не срытого зловреда. Загрузчик новый и что? )))) Работают ребята над написанием загрузчиков.

Ботнет то зачем? А обнаружил их "огненный глаз" активность как? Когда применили ботсеть по назначению и трафик вырос до небес? )))

Это детские игрушки, которые видны в списке процессов и на диске невооруженным глазом.

>Вы так пишите, как будто это что-то неслыханное. Так-то регулярно приходится антивирь вырубать. Ну и попалили далеко не только SolarWinds, Микрософт тоже неплохо так поучаствовала.

Это неслыханное даже в рамках небольшой российской коммерческой организации, у которой вы что-то можете украсть через интернет. СБ и админы не дадут добро на такой софт.
А у более-менее крупной, вы можете заражать всё что угодно, вы или не выйдете наружу с данными, потому что невозможно с компьютера сотрудника выйти в интернет, как и перенести что-то с этого компьютера на другой физически, или вы заразите виртуалку на которой нет ничего кроме браузера, чтобы сотрудник мог по служебной надобности ходить в "интернеты".

От	nicoljaus
К	AMX (09.03.2021 14:14:13)
Дата	09.03.2021 15:23:42

Re: вообше-то грядет...

>Это индустрия.

Так я и говорю - нормальная такая хакерская атака. И теперь люди очень хотят добраться до капитанов этой индустрии.

>Ботнет то зачем? А обнаружил их "огненный глаз" активность как? Когда применили ботсеть по назначению и трафик вырос до небес? )))

Я так глубоко не копался. "Огненный глаз" присел на измену, когда обнаружил, что у их "красной команды" попёрли тулкит для моделируемого взлома.

>А у более-менее крупной, вы можете заражать всё что угодно, вы или не выйдете наружу с данными

Я более чем уверен, в США айтишники так же рассуждали на тему "да у нас все схвачено". А вот вишь ты как получилось.

От	AMX
К	nicoljaus (09.03.2021 15:23:42)
Дата	09.03.2021 15:49:15

Re: вообше-то грядет...

>Так я и говорю - нормальная такая хакерская атака. И теперь люди очень хотят добраться до капитанов этой индустрии.

Вы просто "нормальных" никогда не видели )))
Клиент ботсети в качестве бэкдура это или клиент ботсети и преследовалась цель создать ботсеть, или это "я тебя слепила, из того, что было".

От	nicoljaus
К	AMX (09.03.2021 15:49:15)
Дата	09.03.2021 16:07:01

Re: вообше-то грядет...

>Вы просто "нормальных" никогда не видели )))
>Клиент ботсети в качестве бэкдура это или клиент ботсети и преследовалась цель создать ботсеть, или это "я тебя слепила, из того, что было".

Сам я не специалист, но вижу что специалисты оценивают работу довольно высоко.

"Проникнув в сеть SolarWinds, злоумышленники снабдили платформу Orion, предназначенную для централизованного мониторинга и управления, вредоносным обновлением. В результате множество клиентов SolarWinds установили зараженную версию платформы и, сами того не зная, впустили хакеров в свои сети. Среди пострадавших числятся такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.

Как ранее стало известно из отчетов ИБ-экспертов, сначала атакующие развернули в сети SolarWinds малварь Sunspot. Аналитики компании CrowdStrike писали, что этот вредонос использовался для внедрения в код Orion бэкдора Sunburst. Зараженные версии Orion оставались незамеченными и были активны в период с марта по июнь 2020 года, а компании-пользователи Orion оказались скомпрометированы. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. При этом хакеры развивали свою атаку далее лишь в редких случаях, тщательно выбирая среди пострадавших крупные цели.

Sunburst сам по себе не был особенно сложным, он лишь собирал информацию о зараженной сети и передавал эти данные на удаленный сервер. Если в итоге операторы малвари решали, что жертва является перспективной целью для развития атаки, они удаляли Sunburst и заменяли его на более мощный бэкдор-троян Teardrop.

Но как теперь сообщает компания Symantec, в некоторых случаях атакующие предпочитали использовать малварь Raindrop, а не Teardrop. Оба бэкдора имеют схожую функциональность и характеризуются исследователями как «загрузчик для маяка Cobalt Strike», то есть они применялись злоумышленниками для расширения доступа внутри взломанной сети"

От	AMX
К	nicoljaus (09.03.2021 16:07:01)
Дата	09.03.2021 17:17:03

Re: вообше-то грядет...

>Сам я не специалист, но вижу что специалисты оценивают работу довольно высоко.

Специалист не может оценить это высоко. Специалист может только удивиться как можно при помощи не выдающегося инструментария и мозгов, которые пишут зловреды на .Net, залезть так далеко и с таким результатом.

Они не пользовались неизвестными уязвимостями, нахождение которых можно было бы приписать им. Они никакими не пользовались. Они не использовали ничего, что не может использовать дите, решившее поиграть в хакеров.

Но это не заслуга хакеров, а уровень сотрудников атакованной компании.

От	nicoljaus
К	AMX (09.03.2021 17:17:03)
Дата	09.03.2021 17:30:48

Re: вообше-то грядет...

>Специалист не может оценить это высоко.

Ну, я прям не знаю, думал что у "Касперского" специалисты. А к кому тогда за антивирусом идти?

>Они не пользовались неизвестными уязвимостями, нахождение которых можно было бы приписать им. Они никакими не пользовались.

Нэ так все было. Они пользовались много чем, занятно было на слушаниях в сенате, когда Микрософту начали выговаривать за архаичную архитектуру.

>Они не использовали ничего, что не может использовать дите, решившее поиграть в хакеров.

Ну тогда не о чем переживать - скоро детей, решивших поиграть в хакеров, найдут и отберут игрушки.

От	AMX
К	nicoljaus (09.03.2021 17:30:48)
Дата	09.03.2021 17:46:09

Re: вообше-то грядет...

>Ну тогда не о чем переживать - скоро детей, решивших поиграть в хакеров, найдут и отберут игрушки.

Они "Неуловимый Джо"

От	nicoljaus
К	AMX (09.03.2021 17:46:09)
Дата	09.03.2021 17:48:45

Re: вообше-то грядет...

>Они "Неуловимый Джо"

А, ну т.е. опять "Боинг" наполненный несвежими трупами. Сами себя взломали, потому и не ищут.