От tarasv
К AMX
Дата 10.03.2021 06:03:10
Рубрики Спецслужбы; Локальные конфликты;

Re: вообше-то грядет...

>Если вы "КГБ", то почему бы вам не нанять программиста в штат, который за несколько месяцев не напишет продукт с такими же возможностями, а там нет ничего недоступного обычному программисту. И не на .Net, это вообще смешно

Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

>, а хотя бы на C++.

Современные плюсы конечно сильно продвинулись но managed код все равно надежней и дешевле.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (10.03.2021 06:03:10)
Дата 10.03.2021 19:09:18

Re: вообше-то грядет...

> Если софт в который встраивались написан на шарпе то и встраиваемый модуль выгодно писать на нем же. Тем более если ничего выходящего за пределы возможностей CLR этому модулю не нужно.

Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
Из "скрытности" только использование строковых переменных в Base64.

Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?
У меня по этому поводу вопрос - куда смотрят наши правоохранители, когда эти товарищи, весьма огульно стряпают "доказательства" участия России?

Данный код содержал полноценный бэкдур.

Вторая история это TEARDROP и BEACON, и типа по первому, второй это коммерческий софт, товарищи прослеживают связь с якобы русской хакерской группой, т.к. раньше им же приписывали авторство похожих зловредов.
От tarasv
К AMX (10.03.2021 19:09:18)
Дата 10.03.2021 20:57:53

Re: вообше-то грядет...

>Они не встраивались в модуль. Они его просто дописали, т.е. распространению через сервер обновления предшествовало гуляние по solarwinds как у себя дома. Дописали прямо в исходниках компании, как их штатные программисты. И разумеется этот код открыт и лежит прямо в репозитории компании, был подписан как положено сертификатом компании и наверное вышел в рамках обычного апдейта силами сотрудников же компании.
>Из "скрытности" только использование строковых переменных в Base64.

Еще небось и style guide компании соблюдали чтобы код в глаза не бросался ;) Но в чем тогда ваша претензия к использованию именно шарпа для этого если троян собирался и паковался в инсталлятор билд процессом самой компании? На чем там были исходники на том и написали, все сделано грамотно. Но бардак в релиз менеджменте у SolarWind конечно тоже имеет место быть.

>Кстати про этот код Касперский тоже говорит как об очень скрытом и трудно-анализируемом коде, который по силам только ребятам из кейджиби, хотя из публикуемых фрагментов этого кода можно уже наверное все собрать. Ничего там скрытого нет. Да, закосы под бизнес код названиями класса, функций и переменных. И это трудно анализировать?

Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (10.03.2021 20:57:53)
Дата 10.03.2021 22:21:03

Re: вообше-то грядет...

> Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

https://habr.com/ru/company/varonis/blog/534984/

Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
В контексте спора был Касперский, я не посмотрел внимательно.
От tarasv
К AMX (10.03.2021 22:21:03)
Дата 11.03.2021 00:00:54

Re: вообше-то грядет...

>Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
>В контексте спора был Касперский, я не посмотрел внимательно.

Да, Хабр уже не торт. Как и предполагалось, типичный надмозг переводил. Оригинал:

When we look inside the malicious DLL, we see that the attacker had stealth in mind. They went to a lot of effort to use code that would blend in with the rest of Orion’s source code, using well-written arguments and generic, unsuspicious class and method names like “initialize,” and “job.”

Как видим все о чем написал Шимол в блоге Varonis это то что исходник не выбивался из общего стиля кода и поэтому не бросался в глаза. По меньшей мере его интерфейсная часть точно. Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 00:00:54)
Дата 11.03.2021 12:53:26

Re: вообше-то грядет...

>Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Вы не поняли, на скрипт-кидди был разговор по загрузчику и тулзе. И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось. Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...
От tarasv
К AMX (11.03.2021 12:53:26)
Дата 11.03.2021 19:59:26

Re: вообше-то грядет...

>И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось.
>Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...

Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind. Значит исходник бэкдора был в их репозитории. Если его удалить то никакого "до бесконечности" не будет, при следующем обновлении dll будет заменена на версию без бэкдора у всех кастомеров подписанных на обновления.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 19:59:26)
Дата 11.03.2021 20:55:53

Re: вообше-то грядет...

> Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind.

Подчищать следы, которые оставлены при взломе самой SolarWind, т.е. деятельности, которая и привела к искомому результату - помещения своего кода в репозитарий.