![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
US Govt's Entire Russia-DNC Hacking Narrative Based On Redacted Draft Of Crowdstrike Report
Мне вся эта история с атрибуцией хакинга с самого начала не очень нравилась. Типа все 1024 агентства дружно согласны, что это русские, но доказательств никаких.
Ну ладно, подумал я, наверное мне доказательства не доверяют, может там какие-то Venona Files, но сами-то 1024 агентства их видели?
Нет, не видели.
Как так? Но как-то они решение приняли? На основании чего?
На основании отчёта Crowdstrike.
Ну да, прочитали тщательно этот отчёт обо всём, разобрались и решили...
Нет, окончательного отчёта они не читали, его им не дали.
Ну хорошо, но что-то же они читали? Самую подробную информацию им Crowdstrike предоставил, чтобы решить?
Им предоставили отредактированную промежуточную версию отчёта.
Погодите, нам тут говорят, что для понимания полной картины происходящего всегда нужна полная версия, даже если дело касается таких вещей, как секретность grand jury, которую закон прямо запрещает раскрывать, или секретов, касающихся национальной безопасности. Но если уж кому можно доверить такие секреты, так это тем самым спецслужбам, которые их призваны охранять?
Тем не менее, детали того, в чём состояла атака, как она была проведена и какие меры были приняты, чтобы предотвратить дальнейшие атаки, спецслужбам США, расследующим эту атаку, доверены не были.
Атрибуция взломов - дело вообще непростое. Но когда атрибуция проводится по отредактированному драфту отчёта частной фирмы, нанятой клиентом, который заинтересован в одном и только одном исходе этой атрибуции - и именно этот исход оказывается на выходе, причём абсолютно никто, сверху до низу, не жалуется на недостаточный доступ к информации и не требует предоставить им дополнительные материалы - то тут уместно вспомнить выражение stinks to high heaven.
Я понятие не имею, кто взломал DNC - возможно, и вправду русские, почему бы и нет. Но в том, что техническая атрибуция была в этом случае подменена политической, я практически уверен.
Мне вся эта история с атрибуцией хакинга с самого начала не очень нравилась. Типа все 1024 агентства дружно согласны, что это русские, но доказательств никаких.
Ну ладно, подумал я, наверное мне доказательства не доверяют, может там какие-то Venona Files, но сами-то 1024 агентства их видели?
Нет, не видели.
Как так? Но как-то они решение приняли? На основании чего?
На основании отчёта Crowdstrike.
Ну да, прочитали тщательно этот отчёт обо всём, разобрались и решили...
Нет, окончательного отчёта они не читали, его им не дали.
Ну хорошо, но что-то же они читали? Самую подробную информацию им Crowdstrike предоставил, чтобы решить?
Им предоставили отредактированную промежуточную версию отчёта.
Погодите, нам тут говорят, что для понимания полной картины происходящего всегда нужна полная версия, даже если дело касается таких вещей, как секретность grand jury, которую закон прямо запрещает раскрывать, или секретов, касающихся национальной безопасности. Но если уж кому можно доверить такие секреты, так это тем самым спецслужбам, которые их призваны охранять?
Тем не менее, детали того, в чём состояла атака, как она была проведена и какие меры были приняты, чтобы предотвратить дальнейшие атаки, спецслужбам США, расследующим эту атаку, доверены не были.
Атрибуция взломов - дело вообще непростое. Но когда атрибуция проводится по отредактированному драфту отчёта частной фирмы, нанятой клиентом, который заинтересован в одном и только одном исходе этой атрибуции - и именно этот исход оказывается на выходе, причём абсолютно никто, сверху до низу, не жалуется на недостаточный доступ к информации и не требует предоставить им дополнительные материалы - то тут уместно вспомнить выражение stinks to high heaven.
Я понятие не имею, кто взломал DNC - возможно, и вправду русские, почему бы и нет. Но в том, что техническая атрибуция была в этом случае подменена политической, я практически уверен.
Tags:
no subject
"Логина в систему", как правило, для необлачных сервисов нет. Ничего в интернет не "публикуется", куда можно было бы залогиниться.
Типовой сценарий в таких случаях это отправка документа с макросом. Юзер запускает макрос, макрос смотрит чё-каво и загружает персистенсе модуль из энторнетов и достигает персистенс с юзерскими правами. Далее задача эскалации привилегий до уровня админа в сети, это отдельный челлендж, но и всё что доступно с юзерскими правами с файловых шар в этот момент можно потихоньку тащить.
no subject
Мне просто любопытно, как технически это произошло. Изначально доступ к меилам получили через юзеров, кликнувших на линки. Т.е. доступ был только к клиентам. Как потом залезли на сам сервер?
no subject
- тупые быдлокодеры оставляют плэйн текст пароли к сервисным аккаунтам в xml конфигурационных файлах и web.config на шарах с юзерским доступом.
- тупые быдлокодеры помещают сервисные экзешники в %юзерпрофайл% или %програмдата% (что уже нарушение бест практисес) и не защищают их от изменений через НТФС пермишенс. Заменил на свой экзешник и он выполняется с правами системы. Дальше дамп паролей и хэшей и крэкинг хэшей.
- заманивание админа на писюк путём создания проблем на писюке и попап ему окошка для ввода пароля для чего-нибудь (имитация аутлук, УАК, и т.п.).
- наличие непатченных RCE сервисов внутри сети (почти верняк).
Ищите онлайн что-нибудь типа "top 10 methods we escalate privileges" от пентестерских контор.
no subject
По клику обычно взлом идёт через какую-нибудь уязвимость в браузере (ну или в читалке PDF или в эксцеле и т.п.) - дальше опять же доступ с правами юзера и см. выше, Пароль при этом может не быть известен, но это обычно небольшая беда, если юзер уже залогинен.