Comments 134
А вот дамп паролей через Mimikatz с получением админских паролей — и дальше пошло-поехало. Причем если в одноранговых сетях с разрозненными юзерами и компами может ограничиться одной-парой машин с МеДком, то в домене, если зараза получает хоть один пароль домен-админа, начинается самая «веселуха». Причем легитимными способами системы с использованием WMI и PsExec.
По поводу выхода за пределы Украины — были сообщения, что первыми пострадали «материнские» компании, которым троян «прилетел» через VPN от украинских «дочек».
Как он вырвался in the wild к остальным — тут вопрос пока открытый, как я понял.
[27/Jun/2017:13:02:03 +0300] "OPTIONS /admin$ HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$ HTTP/1.1" 405 312 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc HTTP/1.1" 405 318 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
[27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc.dat HTTP/1.1" 405 322 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
От имени зараженных пользователей рассылка, у которой эффект в разы выше, чем у обычной рассылки с вредоносом
Тот же ESET утверждает, что был обнаружен PHP-дроппер на FTP-сервере обновлений.
Что именно и как поломали (а также поломали ли только FTP, или глубже залезли) — пока еще расследуют.
Сервера обновлений сейчас вроде изъяты и изучают.
Вчера мы попробовали установить его на изолированный компьютер и скачать обновления. Обновления скачались. Антивирус при этом ругнулся на полученный WannaCry. Я так и не понял, что это было, какое-то изощренное бизнес-самоубийство компании-разработчика Медка?
Сервер — http://1c-sed.com.ua/ Но с вчерашнего дня он не отвечает.
В разборе бекдора от ESET в одном из листингов этот сервер проскакивает.
Я не знаком с украинскими реалиями, но подобные программы такой мелочью как массовое зарожение не убить. Уж слишком они востребованы. Может, конечно переименуют, но бизнес будет дальше жить.
Медок стоит на серверах принимающих отчётность и у работников налоговой, пенсионки и т.д., так что его никаким дустом не вытравят.
А по опыту сдачи отчетов могу сказать, что там сидит пенсионерка по имени Василиса, которая изучает через лупу распечатки со старого струйного принтера с надцатой заправкой картриджа :))
Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты, есть альтернативные продукты, чьи отчеты налоговая принимает. Ничего особенно сложного сделать отчет в Notepad++, только не быстро получится :)
PS
Любая монополия — зло. Особенно когда ее насаждают чиновники, да еще и за деньги. Медок должен умереть.
Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты
Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло. Вытащил и сравнил xml-ки из программ. Разница была ровно в одно поле. В «правильной» программе было поле «Сделано в АРМ Звіт версия ». И вот тут вся открытость закончилась. Попытки спросить «А почему?» натыкались на ответ: «Мы ничего не знаем. У нас программа не принимает и все.» Так медок стал монополистом. А теперь другие хорошие системы есть (та же Соната мне нравится), но бухгалтера и интеграторы знают только МЕДОК. Может сейчас ситуация сдвинется.
Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло.
Я ключевые данные в цитате выделил — как раз в 2012 году Клименковцы активно впендюривали нам все это. Тогда же и ключи не все и не везде подходили, МЕдок почему-то не хотел принимать бесплатные ключи от АЦСК ДФС и т.д. и т.п. Я отчет в ПФУ из EDZV с описанием с сайта ДФС в зубах в январе 2016 допиливал в Notepad++ — все прошло нормально.
Три года ты сходишь с ума в обстановке постоянных изменений в налоговом учете, а потом отчеты от твоего софта просто не принимают в налоговой, и ты пытаешься с этим разобраться в переписках с налоговой целую неделю, но из-за возможных штрафов, все клиенты, которых ты 3 года нарабатывал за эту неделю с тебя сбегают, и назад их уже не затащить. Потому что никто не хочет рисковать — ни клиенты, ни ты.
Я очень уважаю данного конкретного бухгалтера, но спустя 3 минуты попыток понять что ей будет проще усвоить: периодически оптимизировать БД МЕдка или попробовать разные бродилки для захода в «электронный кабинет плательщика», я предпочел забить. В Системе, где насаждаемое чиновниками платное «ПО» типа МЕдка корысти ради, возводится в Абсолют, рассчитывать на спокойную жизнь глупо :)
Более того, обмен электронными документами с контрагентами, возможен, только при условии, что у контрагента установлено то же ПО, что и у вас.
Руками можно подготовить XML, а вот подписать (и отправить) его — это уже требуется сертифицированное ПО, коего есть вагон и маленькая тележка. Я подписывал и отправлял «Сонатой». Сертификацию проводит ДСЗТИ. ДФС и ее прилипалы к этому процессу отношения не имеют (?).
Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.
Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.
Достаточно геморройно. Выпуск софта со средствами криптографии в Украине — это вид деятельности, подлежащий лицензированию. И если вы там пишете что-то за рубеж на аутсорсинге, никто об этом заморачиваться не будет, конечно же. Но когда вы вытащите на свет божий приложение для обмена документами с фискальными органами Украины, помимо его сертификации, с вас спросят ещё и лицензию. Её получить уже сложнее, вам нужно и подтверждать наличие в штате дипломированных специалистов по криптографии, и соответствовать минимальным требованиям по оснащенности и т.д.
Ждем когда государство свою ИТ службу напряжет для переноса всего этого добра в руки гос-ва
.
Как вы думаете, для чего в стандарте на файлы отчётности присутствует поле «SOFTWARE»?
Ровно для того же, для чего в HTML страницах стоят теги с указанием CMS, которая сгенерировала данную страницу — XML-отчет в ДФС должен соответствовать стандарту независимо от «изготовителя». «Войны стандартов» оставьте браузерам под Windows.
И тут самый интересный момент — командные сервера, с которых скачиваются полезные нагрузки — где?
А палево-то в чем, пока вирус спит? Мне кажется, так хостить такие вещи на своих официальных серверах — и есть то самое "палево".
http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
Подтверждается все, что нашли сотрудники ДрВеб — и про бэкдор и про компроментацию медка. Возможно изначально даже внутренней атакой.
Кто не читает английский, я вкратце переводил основные факты в комментах.
В общем основной момент — подпатчили конфиг nginx сервера обновлений, и проксировали траффик на внешний сервер, с которого видимо и раздавали поддельные обновления. Поэтому внутри Медка следов очень мало.
Но вообще атака производит впечатление какое-то странное. С одной стороны нормальное сокрытие, следы обрываются, но с другой — ошибки при правке вебконфигов, непочищенные логи, ошибки в коде трояна, ошибки в реализации алгоритма шифрования
Проба пера в ожидании рецензий на проведенную атаку. Как узнать все свои ошибки и получить бесплатно рекомендации по их устранению
Например, можно предположить, что над разработкой плана работали достаточно шарящие граждане. Но вот палиться при непосредственном проведении атаки они отказались, оставшись консультантами.
И непосредственным исполнителем был продвинутый проинструктированный юзер (возможно даже один из заказчиков), который делал мелкие ошибки, а про подчистить за собой логи даже не знал.
Или как вариант, заказчик-исполнитель нанимал разных специалистов для разных задач, таким образом, что они не видели всю картинку — например длл делали для взлома конкретной фирмы, не подозревая, что ее будут распространять массово, через официальный сервер обновлений.
Или просто нервы, алкоголь для храбрости и бобро.
«Так вы тоже говорите, что можете» (Известный анекдот)
Ну вот что на это сказать? И это на сервере, правда петю не словили ))
M.E.doc — программа для подачи отчетности, а 1С — ERP. Не понимаю какая связь между 1С и M.E.doc?
А так — это разные вещи.
А жаль, хотелось посмотреть на аналог 1С за авторством украинских программистов.
Медок — это не аналог 1С, это приложение для электронного документооборота между предприятиями и госорганами.
Если да, то внедрить коня без доступа к билд-серверу или полным исходникам не получилось бы. А если подписи нет… то бардак и несоблюдение базовых правил публикации, привели к возможности вот так влёгкую заразить всё и вся…
С одной стороны я их понимаю. 3-5 обновлений в месяц по формам и документам и в каждом обновлении целые списки изменений. С другой — есть подозрение что проблема в архитектуре программы.
При работе с филиальной сетью в пару десятков филиалов или с сотней-другой ФОПов убогость архитектуры Медка сразу вылазит на первый план. Не забываем, что в 2012 году под названием Медок в анальные отверстия субъектов хоздеятельности Клименко засовывал для дальнейшего распила, а не облегчения жизни налогоплательщика. Поэтому после провала схемы по распилу они и не смогли нормально жить на просто поддержании актуальности инсталляций. Отсюда и тот бардак с обновлениями — неожиданно пришлось работать.
Так что надо ждать независимого расследования, и даже не с Украинской стороны ( могут сливать ложную информацию через зависимых разработчиков), а международной.
Домашние пользователи десятки страдают, на остальных осях автоматические обновления почти все выключают.
Но если надеть шапочку из фольги, то можно сказать, что в любом обновлении Майкрософт сам добавляет бэкдоры для АНБ.
Спасибо за обзор.
Единственно, что непонятно — почему ESET, выпустивший свой обзор утром (https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/, By Anton Cherepanov posted 4 Jul 2017 — 10:00AM) говорит о трёх файлах бэкдора, а Dr.Web, выпустивший свой обзор вечером, только об одном: файле с SHA1: 3567434E2E49358E8210674641A20B147E0BD23C (очевидно, BackDoor.Medoc.1).
Данная запись перекрывает и два других файла бэкдора, упомянутых в работе ESET (SHA1: 7B051E7E7A82F07873FA360958ACC6492E4385DD и SHA1: 7F3B1C56C180369AE7891483675BEC61F3182F27), или следует ожидать появления записей BackDoor.Medoc.2 и BackDoor.Medoc.3 и, соответственно, обновления текста данного обзора? Спасибо!
WNet (украинский интернет-провайдер) сейчас главный подозреваемый в подмене обновления для M.E.Doc на обновление, которое содержит вирус.
Тот самый WNet, которого совсем недавно щимили СБУ за коммутацию трафика (и госорганов в том числе!) через россию?
Посему, я желаю чтобы медок закрыли и вместо нее появились аналоги.
Дык, аналогов навалом, некоторые существуют дольше медка, и многие работают лучше.
Для интеграции — она ест обычные XML-ки в формате OPZ, ну и из Медка умеет импортировать данные/профили.
И ещё, она просто крохотная в сравнении с Медком. Меня сам этот факт радует :)
Причем убивает базу наповал. Было уже не раз.
А благодаря Firebird, база со временем начинает тормозить. И надо раз в пару месяцев, делать бекап и восстановление.
Но это мелочь. Можно было простить и даже автоматизировать.
Если бы не одно но… время восстановление может быть разное.
Так в последние раз восстановление у меня заняло 4 дня!!! 4 гребанных дня.
Попутный вопрос:
А в МЕдке все так же для подключения к базе используются дефолтные login SYSDBA и pass masterkey, как и в предыдущем БестЗвит? Если да, то у меня руки устанут набивать рукалицо.
Кто из МЕДка? Расскажите, что там у вас происходит?
Нет явных конкурентов, как по мне, версия маловероятна. Также атака хорошо спланирована и подготовлена, что в свою очередь подразумевает большие затраты на подготовку и наличие группы профессионалов, тут явно причина или мотив посерьезнее. Выбивание конкурентов можно было бы провести с меньшими потерями для предприятий и большей ориентацией на "нужные" сми и поддержку "нужными" органами и организациями.
Если судить из Вашего предположения, что спланирована и проведена атака была неважно, то зачем заказчику рисковать своим именем и репутацией (если это конкурент), зная что ты сам себя можешь этим опорочить и также останешься у «разбитого корыта»?
откуда взяли что был сбор данных? была техническая возможность через дыру в медоке, а шифровальщик наоборот был лишен связи, где написано что был зарегистрирован сбор данных?
а где заказчик рискнул именем и репутацией? вы знаете заказчика? а если заказчик расследует это дело?
суть то, версии, в том что конкурентов крышуют и эта крыша организовала дело дабы приподнять своих, да возможно перестаралась, но ущерб, судя по статьям (сам я не в курсе), минимальный из возможного.
как-то так.
И да, кто заказчик непонятно, я конкурентов реальных не наблюдаю (может быть пока что). Если хотят кем-то заменить, то пора бы кандидата выдвигать, а то вся шумиха уляжется и толку никакого не будет.
На счет ЕГРПОУ, все (которые я посмотрел) ссылаются на статью ESET, но что-то я там этого не нашел.
Хотя я не понимаю, что страшного в сборе ЕГРПОУ, это и так доступная информация.
— коллекция связанных данных ЕДРПОУ+email+адрес+директор+главбух;
— фактически «связанные лица», отчеты которых готовятся на одном и том же рабочем месте; особенно целые коллекции ФОПов, через которых ведется фактическая хоздеятельность многими ритейлерами;
— коллекции ФОПов, через которых выплачивают «конверты» сотрудникам;
— коллекции контрагентов (отчет СТК включает только крупных с лимитом по обороту);
— еще куча всякого разного, что я сходу не смог придумать.
Все эти массивы информации имеют колоссальное значение для финансовой и еще какой разведки.
Моя версия: бэкдор сделали спецслужбы — судя по функционалу и себестоимости, у них были средства и мотивы. А потом кто-то ушлый декомпилировал в каких-то других целях DLL-ки, обнаружил халяву и неумело воспользовался, спалив контору.
На сервере вместе с медком лежат же ключи цифровой подписи? То есть их могли украсть и использовать в своих целях? Или я что-то путаю?
Повідомляємо, що безпечною для роботи вважається версія ПЗ M.E.Doc 10.01.188. Якщо Ви встигли оновити програму до останньої версії 10.01.189 — рекомендуємо конвертувати базу Вашої програми у попередню версію (10.01.188). В цьому Вам можуть допомогти наші конультанти.
Щоб зекономити Ваш час і попередити перевантаження консультаційної лінії просимо Вас попередньо завантажити інсталяційний файл програми M.E.Doc та програму для віддаленої підтримки.
Після того, як завантаження завершиться зателефонуйте до нас або зверніться на сайті онлайн, і ми допоможемо Вам у подальших діях.
Но сравнивать OPZ и MEDoc, имхо, немного не корректно. OPZ лишь для генерации правильного XML использовалась, а МЕДок как решения для организации электронного документооборота.
Но интерфейс у OPZ был более прост для освоения «методом тыка»
Но интерфейс у OPZ был более прост для освоения «методом тыка»
Там были нюансы. Валидация форм делалась тупо по схеме средствами XML-парсера, и бухгалтеры были счастливы получать сообщения об ошибках вида «Field NPMFDZ is required». При этом в штате ещё желательно было иметь админа, который знал, что такое XML, и был в состоянии найти поле NPMFDZ.
«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру