થોડા દિવસ પહેલા નોટિફિકેશન આવ્યું હતું કે PyPI ડિરેક્ટરીમાં દૂષિત કોડ ધરાવતા 11 પેકેજોની ઓળખ કરવામાં આવી હતી (પાયથોન પેકેજ ઇન્ડેક્સ).
સમસ્યાઓ ઓળખાય તે પહેલાં, પેકેજો કુલ લગભગ 38 હજાર વખત ડાઉનલોડ થયા હતા એ નોંધવું જોઈએ કે શોધાયેલ દૂષિત પેકેટો હુમલાખોરોના સર્વર સાથે સંચાર ચેનલોને છુપાવવા માટે અત્યાધુનિક પદ્ધતિઓના ઉપયોગ માટે નોંધપાત્ર છે.
જે પેકેજો મળી આવ્યા હતા તે નીચે મુજબ છે:
- મહત્વપૂર્ણ પેકેજ (6305 ડાઉનલોડ્સ) e મહત્વપૂર્ણ-પેકેજ (12897): આ પેકેજો બાહ્ય સર્વર સાથે જોડાણ સ્થાપિત કરો pypi.python.org સાથે કનેક્ટ થવાની આડમાં સિસ્ટમને શેલ એક્સેસ પ્રદાન કરવા માટે (રિવર્સ શેલ) અને કોમ્યુનિકેશન ચેનલને છુપાવવા માટે trevorc2 પ્રોગ્રામનો ઉપયોગ કરો.
- pptest (10001) ઇ ipboards (946): માહિતી ટ્રાન્સફર કરવા માટે DNS નો ઉપયોગ સંચાર ચેનલ તરીકે થાય છે સિસ્ટમ વિશે (પ્રથમ પેકેટમાં, યજમાનનામ, કાર્યકારી નિર્દેશિકા, આંતરિક અને બાહ્ય IP, બીજામાં, વપરાશકર્તાનામ અને યજમાનનામ).
- ઘુવડ (3285) ડિસ્કોર્ડસેફ્ટી (557) અને યિફપાર્ટી (1859) - સિસ્ટમ પર ડિસ્કોર્ડ સેવા ટોકન ઓળખો અને તેને બાહ્ય હોસ્ટને મોકલો.
- trrfab (287): ઓળખકર્તા, યજમાનનામ અને / etc / passwd, / etc / hosts, / ઘરની સામગ્રી બાહ્ય હોસ્ટને મોકલે છે.
- 10સેન્ટ10 (490) - બાહ્ય હોસ્ટ સાથે રિવર્સ શેલ કનેક્શન સ્થાપિત કર્યું.
yandex-yt (4183): nda.ya.ru (api.ya.cc) દ્વારા જારી કરાયેલ વધારાની ક્રિયાઓ વિશે વધારાની માહિતી સાથેના પેજ પર ચેડા કરાયેલ સિસ્ટમ વિશેનો સંદેશ બતાવ્યો.
આ જોતાં એવો ઉલ્લેખ કરાયો છે કે પેકેટમાં ઉપયોગમાં લેવાતા બાહ્ય યજમાનોને ઍક્સેસ કરવાની પદ્ધતિ પર વિશેષ ધ્યાન આપવું જોઈએ મહત્વપૂર્ણ પેકેજ અને મહત્વપૂર્ણ-પેકેજ, જે તેમની પ્રવૃત્તિ છુપાવવા માટે PyPI કેટલોગમાં ઉપયોગમાં લેવાતા ફાસ્ટલી સામગ્રી વિતરણ નેટવર્કનો ઉપયોગ કરે છે.
વાસ્તવમાં, વિનંતીઓ pypi.python.org સર્વર પર મોકલવામાં આવી હતી (HTTPS વિનંતીમાં SNI માં python.org નું નામ સ્પષ્ટ કરવા સહિત), પરંતુ હુમલાખોર દ્વારા નિયંત્રિત સર્વરનું નામ HTTP હેડરમાં સેટ કરવામાં આવ્યું હતું "હોસ્ટ ». કન્ટેન્ટ ડિલિવરી નેટવર્કે ડેટા ટ્રાન્સમિટ કરતી વખતે pypi.python.org પર TLS કનેક્શનના પરિમાણોનો ઉપયોગ કરીને હુમલાખોરના સર્વરને સમાન વિનંતી મોકલી હતી.
નું ઇન્ફ્રાસ્ટ્રક્ચર PyPI એ ફાસ્ટલી કન્ટેન્ટ ડિલિવરી નેટવર્ક દ્વારા સંચાલિત છે, જે વાર્નિશની પારદર્શક પ્રોક્સીનો ઉપયોગ કરે છે લાક્ષણિક વિનંતીઓને કેશ કરવા માટે, અને પ્રોક્સી દ્વારા HTTPS વિનંતીઓને ફોરવર્ડ કરવા માટે એન્ડપોઇન્ટ સર્વરને બદલે CDN-સ્તરની TLS પ્રમાણપત્ર પ્રક્રિયાનો ઉપયોગ કરે છે. ગંતવ્ય હોસ્ટને ધ્યાનમાં લીધા વિના, વિનંતીઓ પ્રોક્સીને મોકલવામાં આવે છે, જે HTTP "હોસ્ટ" હેડર દ્વારા ઇચ્છિત હોસ્ટને ઓળખે છે, અને ડોમેન હોસ્ટના નામો CDN લોડ બેલેન્સર IP સરનામાં સાથે જોડાયેલા હોય છે જે તમામ ફાસ્ટલી ક્લાયંટના લાક્ષણિક છે.
હુમલાખોરોનું સર્વર પણ CDN ફાસ્ટલી સાથે નોંધણી કરે છે, જે દરેકને મફત દર યોજનાઓ પ્રદાન કરે છે અને અનામી નોંધણીની પણ મંજૂરી આપે છે. નોંધનીય છે સ્કીમનો ઉપયોગ "રિવર્સ શેલ" બનાવતી વખતે પીડિતને વિનંતીઓ મોકલવા માટે પણ થાય છે. પરંતુ હુમલાખોરના યજમાન દ્વારા શરૂ કરવામાં આવ્યું હતું. બહારથી, હુમલાખોરના સર્વર સાથેની ક્રિયાપ્રતિક્રિયા PyPI નિર્દેશિકા સાથેના કાયદેસર સત્ર જેવી લાગે છે, જે PyPI TLS પ્રમાણપત્ર સાથે એનક્રિપ્ટ થયેલ છે. "ડોમેન ફ્રન્ટિંગ" તરીકે ઓળખાતી એક સમાન ટેકનિકનો અગાઉ કેટલાક CDN નેટવર્ક્સ પર પૂરા પાડવામાં આવેલ HTTPS વિકલ્પનો ઉપયોગ કરીને, SNI માં ડમી હોસ્ટનો ઉલ્લેખ કરીને અને યજમાનનું નામ પસાર કરીને, લૉક્સને બાયપાસ કરીને યજમાનનામને છુપાવવા સક્રિયપણે ઉપયોગમાં લેવાતું હતું. હોસ્ટને વિનંતી કરવામાં આવી હતી. TLS સત્રની અંદર HTTP હોસ્ટ હેડરમાં.
દૂષિત પ્રવૃત્તિને છુપાવવા માટે, TrevorC2 પેકેજનો પણ ઉપયોગ કરવામાં આવ્યો હતો, જે સર્વર સાથેની ક્રિયાપ્રતિક્રિયાને સામાન્ય વેબ બ્રાઉઝિંગ જેવી જ બનાવે છે.
Pptest અને ipboards પેકેટોએ DNS સર્વરની વિનંતીઓમાં ઉપયોગી માહિતીને એન્કોડ કરવાના આધારે નેટવર્ક પ્રવૃત્તિને છુપાવવા માટે એક અલગ અભિગમનો ઉપયોગ કર્યો હતો. દૂષિત સૉફ્ટવેર DNS ક્વેરીઝ કરીને માહિતીનું પ્રસારણ કરે છે, જેમાં કમાન્ડ અને કંટ્રોલ સર્વર પર ટ્રાન્સમિટ કરવામાં આવેલ ડેટા સબડોમેન નામમાં base64 ફોર્મેટનો ઉપયોગ કરીને એન્કોડ કરવામાં આવે છે. હુમલાખોર ડોમેનના DNS સર્વરને નિયંત્રિત કરીને આ સંદેશાઓ સ્વીકારે છે.
અંતે, જો તમને તેના વિશે વધુ જાણવામાં રુચિ છે, તો તમે વિગતોની સલાહ લઈ શકો છો નીચેની કડીમાં