От AMX
К tarasv
Дата 10.03.2021 22:21:03
Рубрики Спецслужбы; Локальные конфликты;

Re: вообше-то грядет...

> Где это можно почитать/послушать в оригинале от Касперского? А то интерпретации они такие интерпретации, да и lost in translation просто тотальная болезнь всех.

https://habr.com/ru/company/varonis/blog/534984/

Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
В контексте спора был Касперский, я не посмотрел внимательно.
От tarasv
К AMX (10.03.2021 22:21:03)
Дата 11.03.2021 00:00:54

Re: вообше-то грядет...

>Пардон, это не Касперский, а Varonis. Цитату отсюда привел https://vif2ne.org/nvk/forum/0/co/2955716.htm
>В контексте спора был Касперский, я не посмотрел внимательно.

Да, Хабр уже не торт. Как и предполагалось, типичный надмозг переводил. Оригинал:

When we look inside the malicious DLL, we see that the attacker had stealth in mind. They went to a lot of effort to use code that would blend in with the rest of Orion’s source code, using well-written arguments and generic, unsuspicious class and method names like “initialize,” and “job.”

Как видим все о чем написал Шимол в блоге Varonis это то что исходник не выбивался из общего стиля кода и поэтому не бросался в глаза. По меньшей мере его интерфейсная часть точно. Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 00:00:54)
Дата 11.03.2021 12:53:26

Re: вообше-то грядет...

>Насчет "a lot" я бы не согласился, но на script kiddies это не похоже, обычный такой девелопер с опытом работы в нормальных проектах где практику аккуратно все именовать вбивают в голову джуна очень быстро.

Вы не поняли, на скрипт-кидди был разговор по загрузчику и тулзе. И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось. Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...
От tarasv
К AMX (11.03.2021 12:53:26)
Дата 11.03.2021 19:59:26

Re: вообше-то грядет...

>И первый вопрос почему они вообще это нашли, т.е. почему это не было подчищено, после того как основное - дописывание кода в их dll состоялось.
>Они эти исходники апдейтили бы до бесконечности и сами продолжали бы выкладывать в обновление. Оставлять следы, да еще указывающие на какую-то группу...

Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind. Значит исходник бэкдора был в их репозитории. Если его удалить то никакого "до бесконечности" не будет, при следующем обновлении dll будет заменена на версию без бэкдора у всех кастомеров подписанных на обновления.

Орфографический словарь читал - не помогает :)
От AMX
К tarasv (11.03.2021 19:59:26)
Дата 11.03.2021 20:55:53

Re: вообше-то грядет...

> Что "это" и что подчищать? В статье высказано резонное предположение что dll это результат внутреннего билд процесса SolarWind.

Подчищать следы, которые оставлены при взломе самой SolarWind, т.е. деятельности, которая и привела к искомому результату - помещения своего кода в репозитарий.