Ανακαλύφθηκαν 11 κακόβουλα πακέτα στο PyPI

Darkcrizt

4 λεπτά

Πριν λίγες μέρες η γνωστοποίηση ότι Στον κατάλογο PyPI εντοπίστηκαν 11 πακέτα που περιείχαν κακόβουλο κώδικα (Ευρετήριο πακέτου Python).

Πριν εντοπιστούν τα προβλήματα, Τα πακέτα κατεβάστηκαν περίπου 38 χιλιάδες φορές συνολικά Θα πρέπει να σημειωθεί ότι τα κακόβουλα πακέτα που εντοπίστηκαν είναι αξιοσημείωτα για τη χρήση εξελιγμένων μεθόδων απόκρυψης καναλιών επικοινωνίας με τους διακομιστές των εισβολέων.

Τα πακέτα που ανακαλύφθηκαν είναι τα εξής:

  • σημαντικό πακέτο (6305 λήψεις) e σημαντικό-πακέτο (12897): αυτά τα πακέτα δημιουργήστε μια σύνδεση με έναν εξωτερικό διακομιστή υπό το πρόσχημα της σύνδεσης στο pypi.python.org για την παροχή πρόσβασης φλοιού στο σύστημα (αντίστροφο κέλυφος) και χρησιμοποιήστε το πρόγραμμα trevorc2 για να κρύψετε το κανάλι επικοινωνίας.
  • pptest (10001) και ipboards (946): χρησιμοποιούσε το DNS ως κανάλι επικοινωνίας για τη μεταφορά πληροφοριών σχετικά με το σύστημα (στο πρώτο πακέτο, το όνομα κεντρικού υπολογιστή, τον κατάλογο εργασίας, την εσωτερική και εξωτερική IP, στο δεύτερο, το όνομα χρήστη και το όνομα κεντρικού υπολογιστή).
  • κουκουβάγια (3285) DiscordSafety (557) και yiffparty (1859) - Προσδιορίστε το διακριτικό υπηρεσίας Discord στο σύστημα και στείλτε το σε έναν εξωτερικό κεντρικό υπολογιστή.
  • trrfab (287): Στέλνει το αναγνωριστικό, το όνομα κεντρικού υπολογιστή και το περιεχόμενο του / etc / passwd, / etc / hosts, / home σε έναν εξωτερικό κεντρικό υπολογιστή.
  • 10 σεντ 10 (490) - Εγκαταστάθηκε μια αντίστροφη σύνδεση κελύφους με έναν εξωτερικό κεντρικό υπολογιστή.
    yandex-yt (4183): έδειξε ένα μήνυμα σχετικά με το παραβιασμένο σύστημα και ανακατευθύνθηκε σε μια σελίδα με πρόσθετες πληροφορίες σχετικά με πρόσθετες ενέργειες, που εκδόθηκε μέσω του nda.ya.ru (api.ya.cc).

Δεδομένου αυτού, αναφέρεται ότι Ιδιαίτερη προσοχή πρέπει να δοθεί στη μέθοδο πρόσβασης σε εξωτερικούς κεντρικούς υπολογιστές που χρησιμοποιούνται σε πακέτα importantpackage και important-package, που χρησιμοποιούν το δίκτυο παράδοσης περιεχομένου Fastly που χρησιμοποιείται στον κατάλογο PyPI για να κρύψουν τη δραστηριότητά τους.

Στην πραγματικότητα, τα αιτήματα στάλθηκαν στον διακομιστή pypi.python.org (συμπεριλαμβανομένου του προσδιορισμού του ονόματος του python.org στο SNI εντός του αιτήματος HTTPS), αλλά το όνομα του διακομιστή που ελέγχεται από τον εισβολέα ορίστηκε στην κεφαλίδα HTTP "Host ». Το δίκτυο παράδοσης περιεχομένου έστειλε ένα παρόμοιο αίτημα στον διακομιστή του εισβολέα, χρησιμοποιώντας τις παραμέτρους της σύνδεσης TLS στο pypi.python.org κατά τη μετάδοση δεδομένων.

Η υποδομή του Το PyPI τροφοδοτείται από το Fastly Content Delivery Network, το οποίο χρησιμοποιεί τον διαφανή διακομιστή μεσολάβησης του Varnish για την προσωρινή αποθήκευση τυπικών αιτημάτων και χρησιμοποιεί επεξεργασία πιστοποιητικού TLS σε επίπεδο CDN, αντί για διακομιστές τελικού σημείου, για την προώθηση αιτημάτων HTTPS μέσω του διακομιστή μεσολάβησης. Ανεξάρτητα από τον κεντρικό υπολογιστή προορισμού, τα αιτήματα αποστέλλονται στον διακομιστή μεσολάβησης, ο οποίος προσδιορίζει τον επιθυμητό κεντρικό υπολογιστή από την κεφαλίδα HTTP "Host" και τα ονόματα κεντρικών υπολογιστών τομέα συνδέονται με τις διευθύνσεις IP του εξισορροπητή φόρτου CDN, τυπικές για όλους τους πελάτες Fastly .

Ο διακομιστής των εισβολέων εγγράφεται επίσης στο CDN Fastly, το οποίο παρέχει σε όλους δωρεάν προγράμματα τιμών και επιτρέπει ακόμη και ανώνυμη εγγραφή. Ιδιαίτερα ένα σύστημα χρησιμοποιείται επίσης για την αποστολή αιτημάτων στο θύμα κατά τη δημιουργία ενός "αντίστροφου κελύφους", αλλά ξεκίνησε από τον οικοδεσπότη του επιτιθέμενου. Από έξω, η αλληλεπίδραση με τον διακομιστή του εισβολέα μοιάζει με μια νόμιμη περίοδο λειτουργίας με τον κατάλογο PyPI, κρυπτογραφημένη με το πιστοποιητικό PyPI TLS. Μια παρόμοια τεχνική, γνωστή ως "domain fronting", χρησιμοποιήθηκε προηγουμένως ενεργά για την απόκρυψη του ονόματος κεντρικού υπολογιστή παρακάμπτοντας κλειδαριές, χρησιμοποιώντας την επιλογή HTTPS που παρέχεται σε ορισμένα δίκτυα CDN, προσδιορίζοντας τον εικονικό κεντρικό υπολογιστή στο SNI και μεταβιβάζοντας το όνομα του κεντρικού υπολογιστή. Ζητήθηκε ο κεντρικός υπολογιστής στην κεφαλίδα του κεντρικού υπολογιστή HTTP σε μια περίοδο λειτουργίας TLS.

Για την απόκρυψη της κακόβουλης δραστηριότητας, χρησιμοποιήθηκε επιπλέον το πακέτο TrevorC2, το οποίο κάνει την αλληλεπίδραση με τον διακομιστή παρόμοια με την κανονική περιήγηση στο web.

Τα πακέτα pptest και ipboards χρησιμοποίησαν μια διαφορετική προσέγγιση για την απόκρυψη δραστηριότητας δικτύου, βασισμένη στην κωδικοποίηση χρήσιμων πληροφοριών σε αιτήματα προς τον διακομιστή DNS. Το κακόβουλο λογισμικό μεταδίδει πληροφορίες εκτελώντας ερωτήματα DNS, στα οποία τα δεδομένα που μεταδίδονται στον διακομιστή εντολών και ελέγχου κωδικοποιούνται χρησιμοποιώντας τη μορφή base64 στο όνομα υποτομέα. Ένας εισβολέας αποδέχεται αυτά τα μηνύματα ελέγχοντας τον διακομιστή DNS του τομέα.

Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.