Muutama päivä sitten ilmoitus siitä PyPI-hakemistosta tunnistettiin 11 haitallista koodia sisältävää pakettia (Python-pakettihakemisto).
Ennen kuin ongelmat havaittiin, paketteja ladattiin yhteensä noin 38 tuhatta kertaa On huomattava, että havaitut haitalliset paketit ovat tunnettuja siitä, että ne käyttävät kehittyneitä menetelmiä viestintäkanavien piilottamiseen hyökkääjien palvelimien kanssa.
Löydetyt paketit ovat seuraavat:
- tärkeä paketti (6305 latausta) e tärkeä-paketti (12897): nämä paketit muodostaa yhteyden ulkoiseen palvelimeen pypi.python.org-yhteyden muodostamisen varjolla tarjota komentotulkki pääsy järjestelmään (käänteinen kuori) ja käytä trevorc2-ohjelmaa viestintäkanavan piilottamiseen.
- pptest (10001) ja ipboardit (946): käytti DNS:ää tiedonsiirtokanavana järjestelmästä (ensimmäisessä paketissa isäntänimi, työhakemisto, sisäinen ja ulkoinen IP, toisessa käyttäjänimi ja isäntänimi).
- pöllönkuu (3285) DiscordSafety (557) y yiff party (1859) - Tunnista Discord-palvelutunnus järjestelmästä ja lähetä se ulkoiselle isännälle.
- trrfab (287): Lähettää / etc / passwd, / etc / hosts, / home -tunnisteen, isäntänimen ja sisällön ulkoiselle isännälle.
- 10 senttiä 10 (490) - Muodosti käänteisen kuoriyhteyden ulkoiseen isäntään.
yandex-yt (4183): näytti viestin vaarantuneesta järjestelmästä ja ohjattiin sivulle, jolla on lisätietoja lisätoimista ja joka on julkaistu nda.ya.ru:n (api.ya.cc) kautta.
Tämän huomioon ottaen se mainitaan erityistä huomiota tulisi kiinnittää menetelmään, jolla paketeissa käytetään ulkoisia isäntiä tärkeäpaketti ja tärkeä-paketti, jotka piilottavat toimintansa PyPI-luettelossa käytettyä Fastly-sisällönjakeluverkkoa.
Itse asiassa pyynnöt lähetettiin pypi.python.org-palvelimelle (mukaan lukien python.orgin nimen määrittäminen SNI:ssä HTTPS-pyynnössä), mutta hyökkääjän hallitseman palvelimen nimi asetettiin HTTP-otsikossa "Host ». Sisällönjakeluverkko lähetti vastaavan pyynnön hyökkääjän palvelimelle käyttämällä TLS-yhteyden parametreja pypi.python.org-osoitteeseen tiedonsiirrossa.
Infrastruktuuri PyPI:n tarjoaa Fastly Content Delivery Network, joka käyttää Varnishin läpinäkyvää välityspalvelinta tallentaa tyypilliset pyynnöt välimuistiin ja käyttää CDN-tason TLS-varmenteiden käsittelyä päätepistepalvelimien sijaan HTTPS-pyyntöjen välittämiseen välityspalvelimen kautta. Kohdeisännästä riippumatta pyynnöt lähetetään välityspalvelimelle, joka tunnistaa halutun isännän HTTP "Host"-otsikon avulla, ja toimialueen isäntänimet linkitetään kaikille Fastly-asiakkaille tyypillisiin CDN-kuormituksen tasapainottimen IP-osoitteisiin.
Hyökkääjien palvelin rekisteröityy myös CDN Fastlyyn, joka tarjoaa kaikille ilmaiset hintasuunnitelmat ja jopa anonyymin rekisteröinnin. Erityisesti järjestelmää käytetään myös pyyntöjen lähettämiseen uhrille luotaessa "käänteistä kuorta", mutta aloitti hyökkääjän isäntä. Ulkopuolelta vuorovaikutus hyökkääjän palvelimen kanssa näyttää lailliselta PyPI-hakemiston istunnosta, joka on salattu PyPI TLS -sertifikaatilla. Samanlaista tekniikkaa, joka tunnetaan nimellä "domain fronting", käytettiin aiemmin aktiivisesti isäntänimen piilottamiseen ohittamalla lukot, käyttämällä joissakin CDN-verkoissa tarjottua HTTPS-vaihtoehtoa, määrittämällä valepalvelimen SNI:ssä ja välittämällä isännän nimen. HTTP-isäntäotsikossa TLS-istunnon sisällä.
Haitallisen toiminnan piilottamiseen käytettiin lisäksi TrevorC2-pakettia, joka tekee vuorovaikutuksesta palvelimen kanssa normaalin web-selailun kaltaista.
pptest- ja ipboards-paketit käyttivät erilaista lähestymistapaa verkkotoiminnan piilottamiseen, mikä perustui hyödyllisten tietojen koodaukseen DNS-palvelimelle lähetetyissä pyynnöissä. Haittaohjelmat välittävät tietoa suorittamalla DNS-kyselyitä, joissa komento- ja ohjauspalvelimelle lähetettävät tiedot koodataan käyttämällä base64-muotoa aliverkkotunnuksen nimessä. Hyökkääjä hyväksyy nämä viestit ohjaamalla toimialueen DNS-palvelinta.
Lopuksi, jos haluat tietää enemmän siitä, voit tutustua yksityiskohtiin Seuraavassa linkissä.