4 июля в 19:54

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.


Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что этот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из наших клиентов, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc:



id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:\Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe

source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:\Device\HarddiskVolume3\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll

created process: \Device\HarddiskVolume3\ProgramData\Medoc\Medoc\ezvit.exe:1184 --> \Device\HarddiskVolume3\Windows\System32\cmd.exe:6328

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

curdir: C:\Users\user\Desktop\, cmd: "cmd.exe" /c %temp%\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

status: signed_microsoft, script_vm, spc / signed_microsoft / clean

id: 425036 ==> allowed [2], time: 0.285438 ms

2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]

id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:\Device\HarddiskVolume3\Windows\System32\csrss.exe

source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:\Device\HarddiskVolume3\Windows\System32\csrsrv.dll

created process: \Device\HarddiskVolume3\Windows\System32\csrss.exe:692 --> \Device\HarddiskVolume3\Windows\System32\conhost.exe:7144

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0

curdir: C:\windows\system32\, cmd: \??\C:\windows\system32\conhost.exe "1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185"

status: signed_microsoft, spc / signed_microsoft / clean

id: 425037 ==> allowed [2], time: 0.270931 ms

2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]

id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:\Device\HarddiskVolume3\Windows\System32\cmd.exe

source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:\Device\HarddiskVolume3\Windows\System32\cmd.exe

created process: \Device\HarddiskVolume3\Windows\System32\cmd.exe:1340 --> \Device\HarddiskVolume3\Users\user\AppData\Local\Temp\wc.exe:3648

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

curdir: C:\Users\user\Desktop\, cmd: C:\Users\user\AppData\Local\Temp\wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe

hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown

id: 425045 ==> undefined [1], time: 54.639770 ms


Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

  • сбор данных для доступа к почтовым серверам;
  • выполнение произвольных команд в инфицированной системе;
  • загрузка на зараженный компьютер произвольных файлов;
  • загрузка, сохранение и запуск любых исполняемых файлов;
  • выгрузка произвольных файлов на удаленный сервер.

Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:


Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

Подробнее о троянце

P.S. На Украине изъяли серверы у распространившей вирус Petya компании.
Автор: @doctorweb
Доктор Веб
рейтинг 302,07

Комментарии (134)

  • +1
    Как в этом случае объясняются заражения за пределами Украины?
    • +3
      Это хороший вопрос, но не к данной статье :) Тут мы именно медок смотрели. Исследования продолжаются.
    • 0
      Возможно, там есть аналоги медка.
    • 0
      MEDoc это изначальный вектор, дальше как обычный вирус, например, через непропатченую samba, а там пошло-поехало.
      • +2
        ОН там несколькими способами распространяется. И ETERNALBLUE походу не самый основной, т.к. если не все, то многие патчи накатали.
        А вот дамп паролей через Mimikatz с получением админских паролей — и дальше пошло-поехало. Причем если в одноранговых сетях с разрозненными юзерами и компами может ограничиться одной-парой машин с МеДком, то в домене, если зараза получает хоть один пароль домен-админа, начинается самая «веселуха». Причем легитимными способами системы с использованием WMI и PsExec.

        По поводу выхода за пределы Украины — были сообщения, что первыми пострадали «материнские» компании, которым троян «прилетел» через VPN от украинских «дочек».
        Как он вырвался in the wild к остальным — тут вопрос пока открытый, как я понял.
        • +3
          Вот еще в копилку:
          [27/Jun/2017:13:02:03 +0300] "OPTIONS /admin$ HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
          [27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$ HTTP/1.1" 405 312 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
          [27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc HTTP/1.1" 405 318 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
          [27/Jun/2017:13:02:03 +0300] "PROPFIND /admin$/perfc.dat HTTP/1.1" 405 322 "-" "Microsoft-WebDAV-MiniRedir/6.1.7601"
        • –5
          Откуда дамп паролей через Mimikatz, вы там не просыхаете что-ли? Или просто умную слову вспомнили?
          • 0
            Да они скорее всего golden ticket генерили, а против него уже не попрёшь по сути.
    • 0

      От имени зараженных пользователей рассылка, у которой эффект в разы выше, чем у обычной рассылки с вредоносом

    • 0
      В компанию (российскую, не ведущую дел с Украиной), где работает мой тесть (естественно, говорить название не буду, они публично не заявляли о заражении) вирус пришел по почте в бухгалтерию под видом письма из налоговой. В итоге, люди неделю не могли зарплату получить. Да и везде говорят, что Медок — только один из векторов распространения.
  • +17
    Любишь медок — люби и холодок!
  • –6
    Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.


    Ссылки на источники отсутствуют.

    Был независимый аудит на который ссылается в новостях M.E.Doc., который говорит, что никакой причастности к заражению не было.
    • 0
      Сервера обновлений сейчас вроде изъяты и изучают.
      Тот же ESET утверждает, что был обнаружен PHP-дроппер на FTP-сервере обновлений.
      Что именно и как поломали (а также поломали ли только FTP, или глубже залезли) — пока еще расследуют.
      • +2
        Сервера обновлений сейчас вроде изъяты и изучают.

        Вчера мы попробовали установить его на изолированный компьютер и скачать обновления. Обновления скачались. Антивирус при этом ругнулся на полученный WannaCry. Я так и не понял, что это было, какое-то изощренное бизнес-самоубийство компании-разработчика Медка?
        • 0
          pcap есть?
          • +2
            Неа. Мы не за вирусом охотились, а просто выясняли, можно ли воспользоваться Медком по назначению, т.к. необходимость своевременной регистрации налоговых накладных никто ж не отменял.
            • 0
              наши бухгалтера без MeDoc отчетность ваяют теперь. Благо 1С не затронуло. Как-то разрабы вируса не учли этот нюанс, или специально учли.
              • 0
                Судя по всему — 1с затронуло. Со вчерашнего дня сервер 1С Звіт не доступен. И прилетело письмо от партнера «не обновлять до выяснения»
                • 0
                  А можно подробнее? Что за «1С Звіт»? Какой сервер у них?
                  • +1
                    Ну, по тому что я сравнивал, это ответвление от раннего МЕДКа. Исполняемые модули называются так же. Dll — ки похожи. Интерфесй — тот же МЕДОК, но баз красивостей (МЕДОК выглядит как Windows XP с «сине-зеленой темой», а 1С-Звіт как XP с отключенными красивостями ) Умеет только firebird из БД. Из «фишек» прямая интеграция с 1С (Бухгалтерия для Украины, УПП для Украины и т.д.). Можно отправлять отчеты прямо из 1С. Вроде как идет бесплатно, если есть подписка на ИТС. Интеграция, кстати, имеет и отрицательный эффект. Например для обновления нужно закрыть все работающие экземпляры 1С не зависимо от того подключена ли конфигурация к 1С Звіт. Версии обновлений и сервер — другие. Но само приложение обновления — такое же. Местами даже проскакивают логотипы МЕДКа (желтые соты)

                    Сервер — http://1c-sed.com.ua/ Но с вчерашнего дня он не отвечает.

                    В разборе бекдора от ESET в одном из листингов этот сервер проскакивает.
                    • 0
                      Звит это совместный проект 1С Украины и разрабочиков Медка. Его делают разработчики Медка.
                      Сервера, почта саппорта, телефония хостятся в Медке, а у них вчера изъяли сервера, поэтому и сайт не работает.
                      По нашим данным через Звит заражений не было, в библиотеке ZvitPublishedObjects.dll действительно что-то нашлось, но похоже что при запуске из Звита вредонос не срабатывал. Пока до выяснения и сборки чистого обновления и дистрибутива лучше не запускать его, но выход обновления _сильно_ затруднился из-за изъятия серверов.
        • +1

          Я не знаком с украинскими реалиями, но подобные программы такой мелочью как массовое зарожение не убить. Уж слишком они востребованы. Может, конечно переименуют, но бизнес будет дальше жить.

          • 0
            Если бы он был один, то конечно. Но у него несколько крупных конкурентов есть, «Соната», iFin и т.д., для которых данная ситуация как бальзам на душу.
            • 0
              Медок стоит на серверах принимающих отчётность и у работников налоговой, пенсионки и т.д., так что его никаким дустом не вытравят.
              • 0
                Медок стоит на серверах принимающих отчётность и у работников налоговой, пенсионки и т.д., так что его никаким дустом не вытравят.

                А по опыту сдачи отчетов могу сказать, что там сидит пенсионерка по имени Василиса, которая изучает через лупу распечатки со старого струйного принтера с надцатой заправкой картриджа :))

                Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты, есть альтернативные продукты, чьи отчеты налоговая принимает. Ничего особенно сложного сделать отчет в Notepad++, только не быстро получится :)

                PS
                Любая монополия — зло. Особенно когда ее насаждают чиновники, да еще и за деньги. Медок должен умереть.
                • +2
                  Пофиг, что стоит на том конце: спецификации протокола и бланки документов давно открыты


                  Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло. Вытащил и сравнил xml-ки из программ. Разница была ровно в одно поле. В «правильной» программе было поле «Сделано в АРМ Звіт версия ». И вот тут вся открытость закончилась. Попытки спросить «А почему?» натыкались на ответ: «Мы ничего не знаем. У нас программа не принимает и все.» Так медок стал монополистом. А теперь другие хорошие системы есть (та же Соната мне нравится), но бухгалтера и интеграторы знают только МЕДОК. Может сейчас ситуация сдвинется.
                  • 0
                    Вот лично у меня была ситуация в 2012 году когда налоговая не принимала отчет сделанный в лицензированном «Арт-Звіт». На все вопросы ответ — Попробуйте сделать в АРМ Звіт (Предшественник МЕДКа). Сделали — прошло.

                    Я ключевые данные в цитате выделил — как раз в 2012 году Клименковцы активно впендюривали нам все это. Тогда же и ключи не все и не везде подходили, МЕдок почему-то не хотел принимать бесплатные ключи от АЦСК ДФС и т.д. и т.п. Я отчет в ПФУ из EDZV с описанием с сайта ДФС в зубах в январе 2016 допиливал в Notepad++ — все прошло нормально.
                    • 0
                      В стране, где твой бизнес и проект могут взять и завалить через 3 года вот одним таким полем — не очень хочется вообще начинать бизнес.
                      Три года ты сходишь с ума в обстановке постоянных изменений в налоговом учете, а потом отчеты от твоего софта просто не принимают в налоговой, и ты пытаешься с этим разобраться в переписках с налоговой целую неделю, но из-за возможных штрафов, все клиенты, которых ты 3 года нарабатывал за эту неделю с тебя сбегают, и назад их уже не затащить. Потому что никто не хочет рисковать — ни клиенты, ни ты.
                      • 0
                        А я сегодня за минут 15 знакомому бухгалтеру откатил МЕдок до 188-ой версии за «чашку кофе». Фирмочка с мелкорозничной торговлей через несколько десятков ФОПов и годовым оборотом 100+ млн грн — в ней нет даже никакого жалкого подобия «компутерщика». И фирмочек таких тысячи и всем им приходится из-за убогости этого «ПО» привлекать сторонние силы для сопровождения.

                        Я очень уважаю данного конкретного бухгалтера, но спустя 3 минуты попыток понять что ей будет проще усвоить: периодически оптимизировать БД МЕдка или попробовать разные бродилки для захода в «электронный кабинет плательщика», я предпочел забить. В Системе, где насаждаемое чиновниками платное «ПО» типа МЕдка корысти ради, возводится в Абсолют, рассчитывать на спокойную жизнь глупо :)
                • 0
                  Ничего подобного. Сформировав как-то «вручную» отчёт и кое-как его подписав, после отправки его, скажем, в налоговую, вы получите что-то типа «документ не принято, неизвестное программное обеспечение». Потому что для отправки вы должны пройти сертификацию отправляющего ПО. Я даже наблюдал как из-за необновления медока были отказы принять отчёт с указанием, что требуется версия медока не ниже такой-то.
                  Более того, обмен электронными документами с контрагентами, возможен, только при условии, что у контрагента установлено то же ПО, что и у вас.
                  • 0
                    Вы путаете теплое с мягким :)

                    Руками можно подготовить XML, а вот подписать (и отправить) его — это уже требуется сертифицированное ПО, коего есть вагон и маленькая тележка. Я подписывал и отправлял «Сонатой». Сертификацию проводит ДСЗТИ. ДФС и ее прилипалы к этому процессу отношения не имеют (?).

                    Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.
                    • 0
                      Не вижу смысла делать руками то, для чего есть программы. И вся сложность существующего положения в том, что медок, несмотря на свою ущербность, лучшее ПО для полного цикла создания и отправки отчётности. Прямо как винда в плане осей.
                      • 0
                        медок, несмотря на свою ущербность, лучшее ПО для полного цикла создания и отправки отчётности

                        Извините, но я уполз под стол.

                        PS
                        Любая монополия — зло. Особенно когда ее насаждают чиновники, да еще и за деньги. Медок должен умереть.
                    • 0
                      Насколько сложно подготовить и сертифицировать свое ПО для подписи? Я не знаю.

                      Достаточно геморройно. Выпуск софта со средствами криптографии в Украине — это вид деятельности, подлежащий лицензированию. И если вы там пишете что-то за рубеж на аутсорсинге, никто об этом заморачиваться не будет, конечно же. Но когда вы вытащите на свет божий приложение для обмена документами с фискальными органами Украины, помимо его сертификации, с вас спросят ещё и лицензию. Её получить уже сложнее, вам нужно и подтверждать наличие в штате дипломированных специалистов по криптографии, и соответствовать минимальным требованиям по оснащенности и т.д.
                • 0
                  Учитывая, что шлюз к серверам ДФС держит Медок, то все эти альтернативы обязаны работать через сервер медка, так что компания не уйдет с рынка.
                  Ждем когда государство свою ИТ службу напряжет для переноса всего этого добра в руки гос-ва
                  .
              • 0
                У принимающих отчетности стоят шлюзы всех разработчиков.
                • 0
                  Пруф будет? Есть единое описание структуры документов и все разработчики должны их соблюдать.
                  • 0
                    Как вы думаете, для чего в стандарте на файлы отчётности присутствует поле «SOFTWARE»?
                    • 0
                      Как вы думаете, для чего в стандарте на файлы отчётности присутствует поле «SOFTWARE»?

                      Ровно для того же, для чего в HTML страницах стоят теги с указанием CMS, которая сгенерировала данную страницу — XML-отчет в ДФС должен соответствовать стандарту независимо от «изготовителя». «Войны стандартов» оставьте браузерам под Windows.
        • 0
          Вот тут тоже непонятная вещь. Анализ говорит о бекдоре, то есть возможности скачать вредоносный код. И тертически в обновлении самого вредоносного кода в конкретный момент может и не быть, но он может быть вам доставлен в любой момент.
          И тут самый интересный момент — командные сервера, с которых скачиваются полезные нагрузки — где?
          • +1
            Вы-таки не поверите, но у Медка ;-)
            • 0
              Да, уже почитал в новости Есета. Абалдеть. Но это пожалуй ставит крест на версии заражения какой внешней силой. Слишком палевно из-за невозможности замести все следы.
              • 0

                А палево-то в чем, пока вирус спит? Мне кажется, так хостить такие вещи на своих официальных серверах — и есть то самое "палево".

                • 0
                  сеть большая, слишком велика вероятность, что где-то что-то останется в файлах, логах и тд на самой компании. Это же получается постоянный, неоднократный доступ — вредоносный код то добавляли в апдейты, то убирали
                  • 0

                    И чем эти логи мешают хакерам?

                    • 0
                      Укажут на источник атаки
                      • 0

                        IP-адрес выходной ноды Тора? :-)

                        • 0
                          Арендованного/взломанного сервера на территории нужной страны скорее
          • +1
            Есть еще одно расследование от Talos Intelligence, они сотрудничали с Медком для анализа ситуации.

            http://blog.talosintelligence.com/2017/07/the-medoc-connection.html

            Подтверждается все, что нашли сотрудники ДрВеб — и про бэкдор и про компроментацию медка. Возможно изначально даже внутренней атакой.
            Кто не читает английский, я вкратце переводил основные факты в комментах.

            В общем основной момент — подпатчили конфиг nginx сервера обновлений, и проксировали траффик на внешний сервер, с которого видимо и раздавали поддельные обновления. Поэтому внутри Медка следов очень мало.
            • +1
              Шикарно, просто шикарно. Спасибо за перевод!

              Но вообще атака производит впечатление какое-то странное. С одной стороны нормальное сокрытие, следы обрываются, но с другой — ошибки при правке вебконфигов, непочищенные логи, ошибки в коде трояна, ошибки в реализации алгоритма шифрования

              Проба пера в ожидании рецензий на проведенную атаку. Как узнать все свои ошибки и получить бесплатно рекомендации по их устранению
              • 0
                Ну… диванная аналитика дает множество версий.

                Например, можно предположить, что над разработкой плана работали достаточно шарящие граждане. Но вот палиться при непосредственном проведении атаки они отказались, оставшись консультантами.
                И непосредственным исполнителем был продвинутый проинструктированный юзер (возможно даже один из заказчиков), который делал мелкие ошибки, а про подчистить за собой логи даже не знал.

                Или как вариант, заказчик-исполнитель нанимал разных специалистов для разных задач, таким образом, что они не видели всю картинку — например длл делали для взлома конкретной фирмы, не подозревая, что ее будут распространять массово, через официальный сервер обновлений.

                Или просто нервы, алкоголь для храбрости и бобро.
                • 0
                  или сделали что-то нужное, а потом грохнули следы и зацепили еще с сотню-тысячу «счастливчиков» чтобы замести основную деятельность. На это наталкивает шифровальщик без возможности расшифровки…
                  Дааа, диванная аналитика рулит! )))
    • 0
      Они также говорили, что у них договора с антивирусными компаниями, которые проверяют их обновления и исключают их детект. Названий компаний, заключивших договора с медком о таких вопиющих делах я ни разу ни видел, как и названия компании-аудитора кода

      «Так вы тоже говорите, что можете» (Известный анекдот)
    • 0
      Источник — собственное расследование компании «Доктор Веб»: https://news.drweb.ru/show/?i=11363&lng=ru&c=14 Есть скрины кода, есть лог антивируса.
    • 0
      image
      Ну вот что на это сказать? И это на сервере, правда петю не словили ))
  • 0
    Типа все на 1С?
    • 0
      на 1С нельзя, посодют
    • 0

      M.E.doc — программа для подачи отчетности, а 1С — ERP. Не понимаю какая связь между 1С и M.E.doc?

      • 0
        Спасибо за разъяснение. То что я слышал — «типа украинский аналог 1С'а»
      • 0
        Есть 1С Звіт. — модуль отчетности для 1С. Но по сути — ребрендинг МЕДКа. Один в один не сравнивал, но название исполняемых модулей, организация обновлений и структура программы похожа на МЕДОК но в «легком» исполнении. Версии обновлений и сервер — другие. И с вчерашнего дня их сервера не доступны. От партнеров пришло предупреждение «Не ставить обновления»
        • 0
          Когда-то у Интеллект Сервиса бес-звит был, я так понимаю, это его развитие? Кстати, у них и своя ЕРП была ИС-ПРО вроде так обзывалась, пол Полтавы на ней сидело.
      • 0
        Отчеты из 1С парсятся в Медок и отправляются в налоговую. Не нужно ничего делать руками.
        А так — это разные вещи.
  • 0
    Тем временем сервера M.E.Doc изъяты, и соответственно сайт их недоступен (если только он не лег от трафика после таких постов и новостей). А жаль, хотелось посмотреть на аналог 1С за авторством украинских программистов.
    • 0
      А жаль, хотелось посмотреть на аналог 1С за авторством украинских программистов.

      Медок — это не аналог 1С, это приложение для электронного документооборота между предприятиями и госорганами.
    • 0
      Это не аналог 1С, это программа сдачи отчетности в налоговую.
    • 0
      M.E.Doc не аналог 1С, даже близко.
      • +3
        Ребят, я и с первого раза понимаю :-) ОК, не аналог так не аналог, в новостях ее просто так представили в каком-то из СМИ.
  • +1
    Что-то ни eset, ни drweb не упомянули, имела ли бэкдорная либа цифровую подпись?
    Если да, то внедрить коня без доступа к билд-серверу или полным исходникам не получилось бы. А если подписи нет… то бардак и несоблюдение базовых правил публикации, привели к возможности вот так влёгкую заразить всё и вся…
    • +1
      Была бы подпись — написали бы :-)
    • 0
      Не было там подписи. И добавить в DLL-ку в бэкдор можно только имея доступ к сорцам. Что как бы намекает…
      • +2

        Управляемые сборки можно модифицировать и без доступа к сорцам — они, как правило, прекрасно декомпилируются.

      • +1
        Как уже сказали выше, без подписи исходники не нужны для того, чтобы скомпилировать модифицированную версию.
        А тут ни подписи, ни обфускации… никакой защиты.
    • 0
      Бардак с обновлениями там постоянный. Перед каждым обновлением приходилось курить форум поддержки на предмет — чего поломали и как не поломать у себя. Им за это много раз притыкали. Но у них один ответ — у нас ресурсов хватает только на внедрение обновлений законодательства. На доработку софта появятся только когда перестанут массово законы менять. С одной стороны я их понимаю. 3-5 обновлений в месяц по формам и документам и в каждом обновлении целые списки изменений. С другой — есть подозрение что проблема в архитектуре программы. Если меняются только формы (xml), то зачем каждый раз патчить БД?
      • 0
        С одной стороны я их понимаю. 3-5 обновлений в месяц по формам и документам и в каждом обновлении целые списки изменений. С другой — есть подозрение что проблема в архитектуре программы.


        При работе с филиальной сетью в пару десятков филиалов или с сотней-другой ФОПов убогость архитектуры Медка сразу вылазит на первый план. Не забываем, что в 2012 году под названием Медок в анальные отверстия субъектов хоздеятельности Клименко засовывал для дальнейшего распила, а не облегчения жизни налогоплательщика. Поэтому после провала схемы по распилу они и не смогли нормально жить на просто поддержании актуальности инсталляций. Отсюда и тот бардак с обновлениями — неожиданно пришлось работать.
    • +1
      Персональные ключи из АЦСКК «Украина» (тоже «Интеллектсервис») в кабинете плательщика на сайте налоговой не принимаются. Скомпромитирован сервер? Тогда можно ожидать немного потных нервных очередей в немногих оставшихся бесплатных АЦСКК в налоговых администрациях…
      • 0
        Если я правильно понял, их сайт http://uakey.com.ua и он сейчас в глубоком дауне…
        • 0
          Говорят, что вроде бы уже ожил. И даже со старым корневым сертификатом.
  • +2
    Силовики, судя по кадрам современным и прошлым, вполне могли заниматься шантажом, лазить по компам бухгалтеров. Это кланы коррумпированные. Надгосударственные структуры между собой воюют.

    Так что надо ждать независимого расследования, и даже не с Украинской стороны ( могут сливать ложную информацию через зависимых разработчиков), а международной.

    • +2
      Думаю, независимое расследование теперь почти невозможно: сервера изъяты украинскими силовиками…
  • 0
    Представим теперь что пробивают сервера wsus майкрософта и закидывают Петя3 на машины — Пандемия.
    • 0
      И админы учатся не только своевременно обновлять серверы и компьютеры в сети, но и делать это только после тестирования обновлений.
      Домашние пользователи десятки страдают, на остальных осях автоматические обновления почти все выключают.
      • 0
        Тестирование не спасает. По сообщению от Авакова, заражение бэкдором было ещё 15 мая. Поскольку бэкдор «безобидный», вируса ещё нет, то никакое тестирование не выявит вредоносности — пока бэкдору не поступит команда в «час икс».
        • 0
          Бэкдор был как минимум с середины апреля…
          • 0
            По каким данным?
            • 0
              SHA1 7b051e7e7a82f07873fa360958acc6492e4385dd, метка времени в заголовке.
            • 0
              Как минимум с 14 апреля.
          • 0
            <дубль>
        • 0
          Ну в Майкрософт, я думаю, быстро просекут, что пакет обновления подменили. У них там защита всё же не тривиальная и не ограничивается одной лишь цифровой подписью.
          Но если надеть шапочку из фольги, то можно сказать, что в любом обновлении Майкрософт сам добавляет бэкдоры для АНБ.
    • –1
      Поэтому как только начались санкции против российских банков распространенной практикой стало отключение систем обновления вообще
      • 0
        хм, хотите сказать что WannaCry-2 было «принуждение к обновлению»?
        • 0
          По исследованию — есть бекдор с функцией скачивания. Тоесть полезной нагрузки в определенный момент может и не быть. Может быть злоумышленники заменяли вредоносный код в обновлениях, может быть всегда в них был только бекдор и действительно загрузка вредоносных модулей начиналась по команде с управляющего центра после загрузки обновления. Как-то все запуталось
    • 0
      как в воду глядел ))
  • 0
    а что тулза на скринах? схема понравилась
    • 0
      Которая? Черная? dnspy это
  • 0
    Доброго времени!

    Спасибо за обзор.

    Единственно, что непонятно — почему ESET, выпустивший свой обзор утром (https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/, By Anton Cherepanov posted 4 Jul 2017 — 10:00AM) говорит о трёх файлах бэкдора, а Dr.Web, выпустивший свой обзор вечером, только об одном: файле с SHA1: 3567434E2E49358E8210674641A20B147E0BD23C (очевидно, BackDoor.Medoc.1).

    Данная запись перекрывает и два других файла бэкдора, упомянутых в работе ESET (SHA1: 7B051E7E7A82F07873FA360958ACC6492E4385DD и SHA1: 7F3B1C56C180369AE7891483675BEC61F3182F27), или следует ожидать появления записей BackDoor.Medoc.2 и BackDoor.Medoc.3 и, соответственно, обновления текста данного обзора? Спасибо!
    • 0
      Это разные сборки одной и той же DLL-ки с разными датами компиляции. Рассмотренная нами в статье — самая свежая, с наиболее полным функционалом.
      • 0
        Добро, спасибо за разъяснение!
    • 0
      И .2 и .3 были добавлены, просто описание делается по конкретному семплу.
  • 0
    WNet (украинский интернет-провайдер) сейчас главный подозреваемый в подмене обновления для M.E.Doc на обновление, которое содержит вирус.
    • 0
      Подмены со стороны провайдера скорее всего не было. Аваков заявляет, что взломали комп одного из разработчиков, получили доступ к исходникам и внедрили прямо в них бэкдор.
    • 0
      WNet (украинский интернет-провайдер) сейчас главный подозреваемый в подмене обновления для M.E.Doc на обновление, которое содержит вирус.

      Тот самый WNet, которого совсем недавно щимили СБУ за коммутацию трафика (и госорганов в том числе!) через россию?

  • +6
    Я медок ненавижу.
    Сколько лет админю это подделку, я не вижу эволюции.
    Обновления самое страшное что может быть в нем.
    Это как кот Шрединг-а. Может обновится, а может убить себя.
    Причем убивает базу наповал. Было уже не раз.
    А благодаря Firebird, база со временем начинает тормозить. И надо раз в пару месяцев, делать бекап и восстановление.
    Но это мелочь. Можно было простить и даже автоматизировать.
    Если бы не одно но… время восстановление может быть разное.
    Так в последние раз восстановление у меня заняло 4 дня!!! 4 гребанных дня.

    И за все время что я вижу эту программу. Нет в ней улучшений.
    Абсолютно злая программа в администрировании.

    Посему, я желаю чтобы медок закрыли и вместо нее появились аналоги.
    • 0
      Посему, я желаю чтобы медок закрыли и вместо нее появились аналоги.

      Дык, аналогов навалом, некоторые существуют дольше медка, и многие работают лучше.
      • 0
        Поделитесь своим опытом, пожалуйста.
        • 0
          Мы сейчас перешли на Сонату. Я не могу судить по поводу секьюрности, но что касается стабильности и быстродействия, мне она за год эксплуатации нравится намного больше. По платформе, там явно что-то VCLное, или Delphi, или Билдер. Локальная СУБД — SQLite. Это уже несекьюрно, но решается настройкой прав на файловую систему.
          Для интеграции — она ест обычные XML-ки в формате OPZ, ну и из Медка умеет импортировать данные/профили.
          И ещё, она просто крохотная в сравнении с Медком. Меня сам этот факт радует :)
      • 0
        Можно узнать, например?
        • 0
          ifin, артзвит — из того что вспомнилось быстро
    • +1
      Причем убивает базу наповал. Было уже не раз.
      А благодаря Firebird, база со временем начинает тормозить. И надо раз в пару месяцев, делать бекап и восстановление.
      Но это мелочь. Можно было простить и даже автоматизировать.
      Если бы не одно но… время восстановление может быть разное.
      Так в последние раз восстановление у меня заняло 4 дня!!! 4 гребанных дня.

      Попутный вопрос:
      А в МЕдке все так же для подключения к базе используются дефолтные login SYSDBA и pass masterkey, как и в предыдущем БестЗвит? Если да, то у меня руки устанут набивать рукалицо.
      • +1
        Да, дефолтные
  • 0
    Это же какой бардак должен быть чтобы такое допустить. Мне сложно представить процесс разработки, при котором можно так просто втулить код и компилит его в каждом релизе.
    Кто из МЕДка? Расскажите, что там у вас происходит?
    • 0
      Бабы у руля :) А вообще вся эта тема с Медком уж больно попахивает, как бы не заказуха все это. Завалить контору, у которой на обслуживании минимум 60-70% клиентов от общего рынка данного типа ПО в Украине, это кому-то очень сильно на руку.

      • –1
        Повод действительно весомый, первая претендующая на реальность версия.
  • 0

    Нет явных конкурентов, как по мне, версия маловероятна. Также атака хорошо спланирована и подготовлена, что в свою очередь подразумевает большие затраты на подготовку и наличие группы профессионалов, тут явно причина или мотив посерьезнее. Выбивание конкурентов можно было бы провести с меньшими потерями для предприятий и большей ориентацией на "нужные" сми и поддержку "нужными" органами и организациями.

    • 0
      Да где вы тут увидели что-то хорошо спланированного и подготовленного? Для произошедшего достаточно одного крота в компании, взяли уже давно существующий софт червя, шифровальщика, поменяли его для большего ущерба, добавили в медок дырку, протолкнули шифровальщик, все. Если бы действительно все хорошо подготовлено и спланировано ни кто-бы не нашел что проникновение прошло через медок, зачем профессионалам оставлять ниточки?
      • –1
        Удачный выбор жертв и способ влияния на них это уже один главных шагов правильно спланированной атаки. Все остальное действительно дело техники, но и это требовало значительных затрат денег, времени и теребовалось наличие знаний. И не понятно зачем для обычного шантажа или выведения конкурента проводить сбор данных?
        Если судить из Вашего предположения, что спланирована и проведена атака была неважно, то зачем заказчику рисковать своим именем и репутацией (если это конкурент), зная что ты сам себя можешь этим опорочить и также останешься у «разбитого корыта»?
        • 0
          вот вы видите значительные затраты, а я нет, уровень знаний — студенческий, нет ничего сложного взять готовое и внести изменения, да, судя по статьям тут, они были корявые.
          откуда взяли что был сбор данных? была техническая возможность через дыру в медоке, а шифровальщик наоборот был лишен связи, где написано что был зарегистрирован сбор данных?
          а где заказчик рискнул именем и репутацией? вы знаете заказчика? а если заказчик расследует это дело?
          суть то, версии, в том что конкурентов крышуют и эта крыша организовала дело дабы приподнять своих, да возможно перестаралась, но ущерб, судя по статьям (сам я не в курсе), минимальный из возможного.
          как-то так.
          • 0
            Есть упоминания, что проводился сбор ЕГРПОУ, учеток почты, прокси (заявление некоторых антивирусных компаний). Хотя я не понимаю, что страшного в сборе ЕГРПОУ, это и так доступная информация. Будет печальнее если собиралась дополнительно информация про ЭЦП, обороты предприятий, контрагентов и т. д.
            И да, кто заказчик непонятно, я конкурентов реальных не наблюдаю (может быть пока что). Если хотят кем-то заменить, то пора бы кандидата выдвигать, а то вся шумиха уляжется и толку никакого не будет.
            • 0
              Что значит упоминания? На первом скрине в этом посте четко видно что данные почты собирались :-)
              • 0
                Это «не тот» сбор информации (ну окромя ЕГРПОУ конечно), это работа штатного механизма распространения шифровальщика, была ли зарегистрирована передача («наружу») этой информации, какой-то дополнительной в крайнем инциденте?

                На счет ЕГРПОУ, все (которые я посмотрел) ссылаются на статью ESET, но что-то я там этого не нашел.

            • 0
              Хотя я не понимаю, что страшного в сборе ЕГРПОУ, это и так доступная информация.

              — коллекция связанных данных ЕДРПОУ+email+адрес+директор+главбух;
              — фактически «связанные лица», отчеты которых готовятся на одном и том же рабочем месте; особенно целые коллекции ФОПов, через которых ведется фактическая хоздеятельность многими ритейлерами;
              — коллекции ФОПов, через которых выплачивают «конверты» сотрудникам;
              — коллекции контрагентов (отчет СТК включает только крупных с лимитом по обороту);
              — еще куча всякого разного, что я сходу не смог придумать.

              Все эти массивы информации имеют колоссальное значение для финансовой и еще какой разведки.
    • +1

      Моя версия: бэкдор сделали спецслужбы — судя по функционалу и себестоимости, у них были средства и мотивы. А потом кто-то ушлый декомпилировал в каких-то других целях DLL-ки, обнаружил халяву и неумело воспользовался, спалив контору.

  • 0
    у меня на медке 20 юр лиц висит) благо был на больничном с 24 и к моему ноуту доступ только у меня)) через vpn скачал веб, сижу гляжу что выплывет, на компе в место антив. штатно стоит Spyware Process Detector (есть ряд подозрений уже замороженых) кто то в курсе о номерах ID зловредных процессов?
  • 0
    Если целью злоумышленников была кража данных из предприятий, то тогда «дымовая завеса» чтобы скрыть следы, возможно. Хотя судя по масштабам это попытка сжечь город, чтобы скрыть кражу пяти копеек. Но не суть. Другой вопрос — чего именно хотели злоумышленники? Данные? Бред. Ценность любой информации при наличии факта возможности ее кражи снижается на порядки — хозяева должны перестраховаться. Будь то доступ к банкингу или «ноухау». Поэтому не стоит строить «гипотезы» и воспользоваться скальпелем Окама. Цель злоумышленников именно то что и произошло. Кратковременный выход из строя нормальной работы атакованных предприятий. Финансовые и материальные потери. Паника у обывателей. Делайте выводы.
  • 0
    «выгрузка произвольных файлов на удаленный сервер.»
    На сервере вместе с медком лежат же ключи цифровой подписи? То есть их могли украсть и использовать в своих целях? Или я что-то путаю?
  • 0
    MEDoc — как по мне, это программа с самым не юзер-френдли интерфейсом из виденных мною. А тут еще и вирусы…
    • 0
      Это вам ещё не довелось готовить и отправлять отчетность в домедковую эпоху, через OPZ
      • 0
        О, да я еще помню как в минздох на флешке отчет возил)) набор «пытомой ваги» то еще удовольствие… а потом захерячили SKPZ і настал лютий пииизз...)
        • 0
          Вот такое письмо нам пришло на почту ( Доброго дня, шановний клієнт!

          Повідомляємо, що безпечною для роботи вважається версія ПЗ M.E.Doc 10.01.188. Якщо Ви встигли оновити програму до останньої версії 10.01.189 — рекомендуємо конвертувати базу Вашої програми у попередню версію (10.01.188). В цьому Вам можуть допомогти наші конультанти.

          Щоб зекономити Ваш час і попередити перевантаження консультаційної лінії просимо Вас попередньо завантажити інсталяційний файл програми M.E.Doc та програму для віддаленої підтримки.

          Після того, як завантаження завершиться зателефонуйте до нас або зверніться на сайті онлайн, і ми допоможемо Вам у подальших діях.
          • 0
            Осталось понять не было ли в 188-м билде того же бэкдора :-)
      • 0
        Вы даже не представляете насколько довелось )). Я пришел в налоговую работать как раз когда началось массовое внедрение электронной отчетности. И первые полгода только тем и занимался что консультировал по установке/работе с OPZ, а еще генерация ключей на дискеты(!), даже кликер написал, чтоб он все делал, а я только дискеты переставлял. Эх, было времячко )))
        Но сравнивать OPZ и MEDoc, имхо, немного не корректно. OPZ лишь для генерации правильного XML использовалась, а МЕДок как решения для организации электронного документооборота.
        Но интерфейс у OPZ был более прост для освоения «методом тыка»
        • 0
          Тогда у них была отдельная программа, тоже авторства каких-то энтузиастов из налоговой, которая позволяла подписывать и отправлять документы. Т.е. какой-никакой документооборот был. С подпорками и педалями.
          Но интерфейс у OPZ был более прост для освоения «методом тыка»

          Там были нюансы. Валидация форм делалась тупо по схеме средствами XML-парсера, и бухгалтеры были счастливы получать сообщения об ошибках вида «Field NPMFDZ is required». При этом в штате ещё желательно было иметь админа, который знал, что такое XML, и был в состоянии найти поле NPMFDZ.
          • 0
            бухгалтеры были счастливы получать сообщения об ошибках вида «Field NPMFDZ is required»
            Ну это да. Было интересное занятие, найти неправильное поле )) Но со временем у нас почти все бухгалтера уже знали что это за поле. Пришлось)))
    • 0
      в последнем обновлении там был кривой аналог TeamViewer для удалённой поддержки, причём насторожило то что галочка на прямое подключение была активирована по умолчанию, а еще там был список фирм и фопов какие могли подключатся для «помощи»…
  • 0
    Отрывок в инструкции к медку (http://www.medoc.ua/pdf/M_E_Doc_instr_NEW4.pdf) стр.3 абз.3 в теперешних реалиях звучит словно издевка — «Будьте обережні: ЗАХОПЛЕННЯ «М.Е.Dоc» СПРИЧИНЯЄ НЕЗВОРОТНІ ПРОЦЕСИ!!! » Перевожу — Осторожно, увлечение «М.Е.Dоc» приводит к необратимым процесам!!!

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Администрирование