For et par dage siden meddelelsen om, at 11 pakker indeholdende ondsindet kode blev identificeret i PyPI-biblioteket (Python-pakkeindeks).
Før problemer blev identificeret, pakker blev downloadet omkring 38 tusinde gange i alt Det skal bemærkes, at de opdagede ondsindede pakker er bemærkelsesværdige for brugen af sofistikerede metoder til at skjule kommunikationskanaler med angribernes servere.
De pakker, der blev opdaget, er følgende:
- vigtig pakke (6305 downloads) e vigtig-pakke (12897): disse pakker oprette forbindelse til en ekstern server under dække af at oprette forbindelse til pypi.python.org for at give shell-adgang til systemet (omvendt skal) og brug trevorc2-programmet til at skjule kommunikationskanalen.
- pptest (10001) og ipboards (946): brugte DNS som en kommunikationskanal til at overføre information om systemet (i den første pakke, værtsnavnet, arbejdsbiblioteket, intern og ekstern IP, i den anden, brugernavnet og værtsnavnet).
- uglemåne (3285) DiscordSafety (557) og yiffparty (1859) - Identificer Discord-tjenestetokenet på systemet og send det til en ekstern vært.
- trrfab (287): Sender identifikatoren, værtsnavnet og indholdet af / etc / passwd, / etc / hosts, / hjem til en ekstern vært.
- 10 cent10 (490) - Etablerede en omvendt skalforbindelse til en ekstern vært.
yandex-yt (4183): viste en besked om det kompromitterede system og omdirigeret til en side med yderligere oplysninger om yderligere handlinger, udstedt gennem nda.ya.ru (api.ya.cc).
På denne baggrund nævnes det Der bør lægges særlig vægt på metoden til at få adgang til eksterne værter, der bruges i pakker vigtig pakke og vigtig pakke, som bruger Fastly-indholdsleveringsnetværket, der bruges i PyPI-kataloget, til at skjule deres aktivitet.
Faktisk blev anmodningerne sendt til pypi.python.org-serveren (inklusive angivelse af navnet på python.org i SNI i HTTPS-anmodningen), men navnet på serveren kontrolleret af angriberen blev angivet i HTTP-headeren "Host" ». Indholdsleveringsnetværket sendte en lignende anmodning til angriberens server ved at bruge parametrene for TLS-forbindelsen til pypi.python.org ved overførsel af data.
Infrastrukturen af PyPI er drevet af Fastly Content Delivery Network, som bruger Varnishs gennemsigtige proxy til at cache typiske anmodninger og bruger TLS-certifikatbehandling på CDN-niveau i stedet for slutpunktsservere til at videresende HTTPS-anmodninger gennem proxyen. Uanset destinationsværten sendes anmodninger til proxyen, som identificerer den ønskede vært ved HTTP "Host"-headeren, og domæneværtsnavnene er knyttet til CDN load balancer-IP-adresserne, der er typiske for alle Fastly-klienter.
Angribernes server registreres også hos CDN Fastly, som giver alle gratis prisplaner og endda tillader anonym registrering. Især en ordning bruges også til at sende anmodninger til offeret, når der oprettes en "omvendt shell", men startet af angriberens vært. Udefra ser interaktionen med angriberens server ud som en legitim session med PyPI-biblioteket, krypteret med PyPI TLS-certifikatet. En lignende teknik, kendt som 'domænefronting', blev tidligere brugt aktivt til at skjule værtsnavnet ved at omgå låse ved at bruge HTTPS-indstillingen på nogle CDN-netværk, specificere dummy-værten i SNI'et og videregive navnet på værten. i HTTP-værtsheaderen i en TLS-session.
For at skjule den ondsindede aktivitet blev TrevorC2-pakken desuden brugt, hvilket gør interaktionen med serveren lig med normal web-browsing.
pptest- og ipboards-pakkerne brugte en anden tilgang til at skjule netværksaktivitet, baseret på kodning af nyttig information i anmodninger til DNS-serveren. Ondsindet software transmitterer information ved at udføre DNS-forespørgsler, hvor data, der sendes til kommando- og kontrolserveren, kodes ved hjælp af base64-formatet i underdomænenavnet. En angriber accepterer disse meddelelser ved at kontrollere domænets DNS-server.
Endelig, hvis du er interesseret i at vide mere om det, kan du konsultere detaljerne I det følgende link.