Před několika dny oznámení, že V adresáři PyPI bylo identifikováno 11 balíčků obsahujících škodlivý kód (index balíků Pythonu).
Než byly zjištěny problémy, balíčky byly staženy celkem asi 38 tisíckrát Je třeba poznamenat, že detekované škodlivé pakety jsou pozoruhodné tím, že používají sofistikované metody ke skrytí komunikačních kanálů se servery útočníků.
Byly objeveny následující balíčky:
- důležitý balíček (6305 stažení) e důležitý balíček (12897): tyto balíčky navázat spojení s externím serverem pod rouškou připojení k pypi.python.org poskytnout shell přístup do systému (reverse shell) a pomocí programu trevorc2 skryjte komunikační kanál.
- pptest (10001) a ipboardy (946): používá DNS jako komunikační kanál pro přenos informací o systému (v prvním paketu název hostitele, pracovní adresář, interní a externí IP, ve druhém uživatelské jméno a název hostitele).
- owlmoon (3285) DiscordSafety (557) y yiffparty (1859) – Identifikujte token služby Discord v systému a odešlete jej externímu hostiteli.
- trrfab (287): Odešle identifikátor, název hostitele a obsah / etc / passwd, / etc / hosts, / home externímu hostiteli.
- 10 centů 10 (490) - Navázáno reverzní připojení shellu k externímu hostiteli.
yandex-yt (4183): zobrazil zprávu o kompromitovaném systému a byl přesměrován na stránku s dalšími informacemi o dalších akcích vydaných prostřednictvím nda.ya.ru (api.ya.cc).
Vzhledem k tomu je uvedeno, že zvláštní pozornost by měla být věnována způsobu přístupu k externím hostitelům, které se používají v paketech důležitý balíček a důležitý balíček, které používají síť Fastly pro doručování obsahu používanou v katalogu PyPI ke skrytí své aktivity.
Ve skutečnosti byly požadavky odeslány na server pypi.python.org (včetně zadání názvu python.org v SNI v rámci požadavku HTTPS), ale název serveru ovládaného útočníkem byl nastaven v hlavičce HTTP „Host ». Síť pro doručování obsahu odeslala podobný požadavek na server útočníka s použitím parametrů připojení TLS k pypi.python.org při přenosu dat.
Infrastruktura PyPI využívá síť Fastly Content Delivery Network, která využívá transparentní proxy společnosti Varnish k ukládání typických požadavků do mezipaměti a k předávání požadavků HTTPS přes proxy používá zpracování certifikátů TLS na úrovni CDN, nikoli servery koncových bodů. Bez ohledu na cílového hostitele se požadavky odesílají na server proxy, který identifikuje požadovaného hostitele podle hlavičky HTTP „Host“ a názvy hostitelů domén jsou propojeny s IP adresami nástroje pro vyrovnávání zatížení CDN typickými pro všechny klienty Fastly.
Server útočníků se také registruje u CDN Fastly, která všem poskytuje bezplatné tarify a dokonce umožňuje anonymní registraci. Zejména schéma se také používá k odesílání požadavků oběti při vytváření „reverzního shellu“, ale začal útočníkovým hostitelem. Zvenčí vypadá interakce se serverem útočníka jako legitimní relace s adresářem PyPI, zašifrovaná certifikátem PyPI TLS. Podobná technika, známá jako „domain fronting“, byla dříve aktivně používána ke skrytí názvu hostitele obcházením zámků pomocí možnosti HTTPS poskytované v některých sítích CDN, zadáním fiktivního hostitele v SNI a předáním názvu hostitele. v hlavičce hostitele HTTP v rámci relace TLS.
Ke skrytí škodlivé aktivity byl navíc použit balíček TrevorC2, díky kterému je interakce se serverem podobná běžnému procházení webu.
Pakety pptest a ipboards používaly ke skrytí síťové aktivity odlišný přístup, založený na kódování užitečných informací v požadavcích na server DNS. Škodlivý software přenáší informace prováděním DNS dotazů, ve kterých jsou data přenášená na příkazový a řídicí server kódována pomocí formátu base64 v názvu subdomény. Útočník přijímá tyto zprávy ovládáním serveru DNS domény.
Nakonec, pokud máte zájem o tom vědět více, můžete si přečíst podrobnosti Na následujícím odkazu.