От Alpaka
К nicoljaus
Дата 09.03.2021 15:22:30
Рубрики Спецслужбы; Локальные конфликты;

Re: вообше-то грядет...


я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .
Alpaka
От AMX
К Alpaka (09.03.2021 15:22:30)
Дата 09.03.2021 15:56:20

Re: вообше-то грядет...


>я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .

Там всё хуже. Был использован коммерческий софт для "играния в хакера", ну т.е. для сотрудников IT безопасности. )))))) И неизвестный им "загрузчик", коих хакеры и типо хакеры(пользуясь готовыми инструментами) рождают пачками непрерывно.
От nicoljaus
К AMX (09.03.2021 15:56:20)
Дата 09.03.2021 16:11:47

Re: вообше-то грядет...

>Там всё хуже. Был использован коммерческий софт для "играния в хакера", ну т.е. для сотрудников IT безопасности. ))))))

"Лаборатория Касперского" что-то свосем о другом пишет: This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers
https://securelist.com/sunburst-backdoor-kazuar/99981/

От AMX
К nicoljaus (09.03.2021 16:11:47)
Дата 09.03.2021 16:56:12

Re: вообше-то грядет...

>"Лаборатория Касперского" что-то свосем о другом пишет: This attack is remarkable from many points of view, including its stealthiness, precision targeting and the custom malware leveraged by the attackers
> https://securelist.com/sunburst-backdoor-kazuar/99981/

Cobalt Strike BEACON это коммерческий продукт https://www.cobaltstrike.com/
Давно полюбившийся "скрипт-кидди" как готовый, доступный и стабильный продукт. Чем продукты писанные "энтузиастами" не особо отличаются, т.к. создаются детьми, насмотревшимися матриц. А за специальный серьезный софт надо платить и немало.
Касперский пишет про загрузчик, который вероятные партнеры обозвали "уникальным", а по факту это опять давно известный инструмент написанный на .Net

На .Net Карл! )))

От nicoljaus
К AMX (09.03.2021 16:56:12)
Дата 09.03.2021 17:03:22

Re: вообше-то грядет...

>Cobalt Strike BEACON это коммерческий продукт https://www.cobaltstrike.com/

Я не очень понимаю, что вы пытаетесь сказать. Типа, если на одном из этапов взлома использовали ходовой продукт, то это уже вроде как и не взлом? Типа если запасной магазин к "калашу" примотан синей изолентой, то уже сразу не перестрелка, а страйкбол?

>На .Net Карл! )))

И что?
От AMX
К nicoljaus (09.03.2021 17:03:22)
Дата 09.03.2021 17:30:22

Re: вообше-то грядет...

>Я не очень понимаю, что вы пытаетесь сказать. Типа, если на одном из этапов взлома использовали ходовой продукт, то это уже вроде как и не взлом? Типа если запасной магазин к "калашу" примотан синей изолентой, то уже сразу не перестрелка, а страйкбол?

Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.
Это стоит копейки, можно под каждую атаку создавать индивидуальный софт. Почему не написать к этому софту драйвер, чтобы он скрывал зловреда на уровне ядра от возможности его обнаружить со стороны ОС? Как бы серьезно подойти к вопросу. Не говоря уже о таких вещах как взлом сетевого оборудование и внесение в их код изменений.

Почему нужно работать как дети, которые не являются специалистами в программировании и даже С++ не осилили?

Можно конечно поконспироложить и сказать, что это делается специально, чтобы не был виден системный подход.
Ну так и все обвинения тогда смешны, если это мог сделать даже ребенок.
От tarasv
К AMX (09.03.2021 17:30:22)
Дата 10.03.2021 06:03:10

Re: вообше-то грядет...

>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно

Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

>, а хотя бы на C++.

Современные плюсы конечно сильно продвинулись но managed код все равно надежней и дешевле.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (10.03.2021 06:03:10)
Дата 10.03.2021 19:09:18

Re: вообше-то грядет...

> Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
Из "скрытности" только использование строковых переменных в Base64.

Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?
У меня по этому поводу вопрос - куда смотрят наши правоохранители, когда эти товарищи, весьма огульно стряпают "доказательства" участия России?

Данный код содержал полноценный бэкдур.

Вторая история это TEARDROP и BEACON, и типа по первому, второй это коммерческий софт, товарищи прослеживают связь с якобы русской хакерской группой, т.к. раньше им же приписывали авторство похожих зловредов.
От tarasv
К AMX (10.03.2021 19:09:18)
Дата 10.03.2021 20:57:53

Re: вообше-то грядет...

>Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
>Из "скрытности" только использование строковых переменных в Base64.

Еще небось и style guide компании соблюдали чтобы код в глаза не бросался ;) Но в чем тогда ваша претензия к использованию именно шарпа для этого если троян собирался и паковался в инсталлятор билд процессом самой компании? На чем там были исходники на том и написали, все сделано грамотно. Но бардак в релиз менеджменте у SolarWind конечно тоже имеет место быть.

>Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?

Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (10.03.2021 20:57:53)
Дата 10.03.2021 22:21:03

Re: вообше-то грядет...

> Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

https://habr.com/ru/company/varonis/blog/534984/

Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
В контексте спора был Касперский, я не посмотрел внимательно.
От tarasv
К AMX (10.03.2021 22:21:03)
Дата 11.03.2021 00:00:54

Re: вообше-то грядет...

>Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
>В контексте спора был Касперский, я не посмотрел внимательно.

Да, Хабр уже не торт. Как и предполагалось, типичный надмозг переводил. Оригинал:

When we look inside the malicious DLL, we see that the attacker had stealth in mind. They went to a lot of effort to use code that would blend in with the rest of Orion’s source code, using well-written arguments and generic, unsuspicious class and method names like “initialize,” and “job.”

Как видим все о чем написал Шимол в блоге Varonis это то что исходник не выбивался из общего стиля кода и поэтому не бросался в глаза. По меньшей мере его интерфейсная часть точно. Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 00:00:54)
Дата 11.03.2021 12:53:26

Re: вообше-то грядет...

>Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Вы не поняли, на скрипт-кидди был разговор по загрузчику и тулзе. И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось. Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...
От tarasv
К AMX (11.03.2021 12:53:26)
Дата 11.03.2021 19:59:26

Re: вообше-то грядет...

>И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось.
>Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...

Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind. Значит исходник бэкдора был в их репозитории. Если его удалить то никакого "до бесконечности" не будет, при следующем обновлении dll будет заменена на версию без бэкдора у всех кастомеров подписанных на обновления.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 19:59:26)
Дата 11.03.2021 20:55:53

Re: вообше-то грядет...

> Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind.

Подчищать следы, которые оставлены при взломе самой SolarWind, т.е. деятельности, которая и привела к искомому результату - помещения своего кода в репозитарий.
От nicoljaus
К AMX (09.03.2021 17:30:22)
Дата 09.03.2021 17:39:46

Re: вообше-то грядет...

>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.

На "КГБ" работают обычные киберпреступники со своими стандартными приемами, которые работают - "и не трогай".

"Когда мы заглядываем внутрь вредоносной DLL, мы видим, что злоумышленники сделали ставку на скрытность. Они приложили немало усилий, чтобы написать код, который гармонировал бы с остальной частью исходного кода Orion, используя хорошо написанные аргументы и общие, не вызывающие подозрений имена классов и методов, такие как «Initialize» или «Job»."
От AMX
К nicoljaus (09.03.2021 17:39:46)
Дата 09.03.2021 18:03:27

Re: вообше-то грядет...

>>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно, а хотя бы на C++.
>
>На "КГБ" работают обычные киберпреступники со своими стандартными приемами, которые работают - "и не трогай".

>"Когда мы заглядываем внутрь вредоносной DLL, мы видим, что злоумышленники сделали ставку на скрытность. Они приложили немало усилий, чтобы написать код, который гармонировал бы с остальной частью исходного кода Orion, используя хорошо написанные аргументы и общие, не вызывающие подозрений имена классов и методов, такие как «Initialize» или «Job»."

Это смешно. На вас может и действует, но мне смешно. Писатели вашей цитаты это говорят о программе, написанной на .Net, сопровождая картинками декомпилятора ILSpy. Декомпилятора!
О какой скрытности можно говорить, если код, написанный на .Net декомпилируется в исходные коды. Да там можно обфусцировать текст, т.е. заменить человеческие названия функций, классов и данных, на машинные, но блин это всё равно исходный код.

Программу, написанную на том же C/C++, которая компилируется в инструкции процессора невозможно декомпилировать обратно в тот же самый код, можно только дизассемблировать, т.е. прератить в код ассемблера, что равно человеческому написанию команд процессора или максимум в псевдо С код. Любую программу нельзя. А можно написать такую которая будет изменять свой код во время выполнения и очень много чего. Анализ которого потребует кучу специалистов и времени, который в описываемом случае делается за один клик в дисассемблере.
Т.е. одна смена языка программирования затруднила бы исследование программы больше, чем пытались сделать они.
От nicoljaus
К AMX (09.03.2021 18:03:27)
Дата 09.03.2021 18:10:53

Re: вообше-то грядет...

>Это смешно. На вас может и действует, но мне смешно.

О, я вспомнил. Вы с тем же апломбом утверждали, что цифры Кривошеева по потерям завышены (!) а обвинения в занижении потерь "смотрятся смешно".

Я, кстати, все жду от вас имена настоящих специалистов к которым надо обратиться за антивирусом. Потому как у "Касперского" почему-то пишут не про детские игрушки, а так:

"Это сложная таргетированная атака, разбор которой пока лишь начинается: в отчетах FireEye, «Лаборатории Касперского» и Microsoft раскрыта далеко не вся схема работы вредоносного кода. Но определенно это одна из самых успешных атак на цепочку поставок с идеально подобранной точкой входа в корпоративную инфраструктуру."
От AMX
К nicoljaus (09.03.2021 18:10:53)
Дата 09.03.2021 18:19:24

Re: вообше-то грядет...

>Я, кстати, все жду от вас имена настоящих специалистов к которым надо обратиться за антивирусом. Потому как у "Касперского" почему-то пишут не про детские игрушки, а так:

Вам надо поучиться программированию. На уровне чайника хотя бы. Тогда вам не придется сомневаться. Я о элементарных вещах говорю.
От nicoljaus
К AMX (09.03.2021 18:19:24)
Дата 09.03.2021 18:31:58

Re: вообше-то грядет...

>Вам надо поучиться программированию. На уровне чайника хотя бы. Тогда вам не придется сомневаться. Я о элементарных вещах говорю.

Вам надо срочно основать свою компанию по кибербезопасности. Выкините с рынка "Касперского", Varonis и прочих не умеющих программировать.
От AMX
К nicoljaus (09.03.2021 18:31:58)
Дата 09.03.2021 18:54:43

Re: вообше-то грядет...

>Вам надо срочно основать свою компанию по кибербезопасности. Выкините с рынка "Касперского", Varonis и прочих не умеющих программировать.

Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз
https://ru.stackoverflow.com/questions/337719/%D0%9E%D0%B1%D1%84%D1%83%D1%81%D0%B0%D1%86%D0%B8%D1%8F-%D0%BA%D0%BE%D0%B4%D0%B0-%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0-%D0%BE%D1%82-%D0%B4%D0%B5%D0%BA%D0%BE%D0%BC%D0%BF%D0%B8%D0%BB%D1%8F%D1%86%D0%B8%D0%B8

Условный "Касперский", который написал этот текст, пишет это для вас, а не для специалистов, раздувая щеки. Он же не может начать рассказывать, что борется с детьми, которые могут обходить его механизмы распознавания вирусов простым изменением небольшого участка кода программ.

Меня в безопасники не возьмут, там только те, кто в школе плохо учился. А как выглядит реальная защита, я выше написал, но вы наверное не читали.
От nicoljaus
К AMX (09.03.2021 18:54:43)
Дата 09.03.2021 19:01:30

Re: вообше-то грядет...

>Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз

Вы столько времени потратили здесь, стуча клавишами. Лучше тисните статью где-нибудь на "Хабре" (хотя бы), разоблачите детей-хакеров, Касперского и прочих. Посмотрим, что люди скажут.
От AMX
К nicoljaus (09.03.2021 19:01:30)
Дата 09.03.2021 19:06:23

Re: вообше-то грядет...

>>Я понимаю, что вы не понимаете, что я вам говорю и не стоит продолжать. Но попробую еще раз
>
>Вы столько времени потратили здесь, стуча клавишами. Лучше тисните статью где-нибудь на "Хабре" (хотя бы), разоблачите детей-хакеров, Касперского и прочих. Посмотрим, что люди скажут.

Это не нужно, все что я написал это простые вещи, которые все и так знают.
От nicoljaus
К AMX (09.03.2021 19:06:23)
Дата 09.03.2021 19:16:33

Ладно, поздравляю, обсуждение успешно зафлужено (-)
От nicoljaus
К Alpaka (09.03.2021 15:22:30)
Дата 09.03.2021 15:24:49

Re: вообше-то грядет...

>я понимаю что установленный код не указывал на Россию ни по методам, ни по функциональности .

А откуда у вас этот код и как вы его анализировали?
От Alpaka
К nicoljaus (09.03.2021 15:24:49)
Дата 09.03.2021 16:29:34

КОшка бросила котят-ето Путин виноват


еще за прошлые обвинения о вмешательстве в выборы в 2016 и в 2020(!)
доказательств не привели. Типа, секретно. Это ерунда. Насчет вирусов и ки-логгеров-
вообще не дождемся.

Алпака
От nicoljaus
К Alpaka (09.03.2021 16:29:34)
Дата 09.03.2021 16:56:40

Пошли аргументы уровня "босх" (-)
От Alpaka
К nicoljaus (09.03.2021 16:56:40)
Дата 09.03.2021 19:48:45

Ре: Пошли аргументы...

Я не программист-безопасник, и не представляюсь им.
Однако, я в свое время логично предположил, что такие "обвинения" будут против России постоянно, особенно после того, как "атака 2016 года на Дем Партию и вмешательство в выборы" когда все сделали вид "что все так и было" (при том что сам Зукерберг говорил о $70000, большинство которых было потрачено после выборов).
И я оказалася прав.


Алпака
От nicoljaus
К Alpaka (09.03.2021 19:48:45)
Дата 09.03.2021 22:07:26

Ре: Пошли аргументы...

>Я не программист-безопасник, и не представляюсь им.

Дык я тоже. Но есть опыт программирования и за новостями в IT я слежу.

>Однако, я в свое время логично предположил, что такие "обвинения" будут против России постоянно, особенно после того, как "атака 2016 года на Дем Партию и вмешательство в выборы" когда все сделали вид "что все так и было" (при том что сам Зукерберг говорил о $70000, большинство которых было потрачено после выборов).
>И я оказалася прав.

Я реально не понимаю, что там за "Зукерберг" и "$70000". Взлом демпартии (вскрывший как они топили Сандерса в пользу клинтонихи) определенно помог Трампу выиграть выбры 2016 года.
От Alpaka
К nicoljaus (09.03.2021 22:07:26)
Дата 10.03.2021 00:19:42

Ре: Пошли аргументы...


>Я реально не понимаю, что там за "Зукерберг" и "$70000". Взлом демпартии (вскрывший как они топили Сандерса в пользу клинтонихи) определенно помог Трампу выиграть выбры 2016 года.
Ну, тогда и Ассанжа в КГБ записывайте, как Гуццифера.
Там время записи файлов указывало что копировали на флешку.

Алпака
От nicoljaus
К Alpaka (10.03.2021 00:19:42)
Дата 10.03.2021 08:57:24

Ре: Пошли аргументы...

>Ну, тогда и Ассанжа в КГБ записывайте, как Гуццифера.
>Там время записи файлов указывало что копировали на флешку.

Вы какие-то мемчики для внутреннего употребление пересказываете. Для всех остальных они непонятны.