कुछ दिन पहले अधिसूचना कि PyPI निर्देशिका में दुर्भावनापूर्ण कोड वाले 11 पैकेजों की पहचान की गई थी (पायथन पैकेज इंडेक्स)।
समस्याओं की पहचान होने से पहले, पैकेज कुल मिलाकर लगभग 38 हजार बार डाउनलोड किए गए यह ध्यान दिया जाना चाहिए कि पता चला है कि दुर्भावनापूर्ण पैकेट हमलावरों के सर्वर के साथ संचार चैनलों को छिपाने के लिए परिष्कृत तरीकों के उपयोग के लिए उल्लेखनीय हैं।
खोजे गए पैकेज निम्नलिखित हैं:
- महत्वपूर्ण पैकेज (6305 डाउनलोड) ई महत्वपूर्ण पैकेज (12897): ये पैकेज बाहरी सर्वर से कनेक्शन स्थापित करें pypi.python.org . से जुड़ने की आड़ में सिस्टम को शेल एक्सेस प्रदान करने के लिए (रिवर्स शेल) और संचार चैनल को छिपाने के लिए trevorc2 प्रोग्राम का उपयोग करें।
- पीपीटेस्ट (10001) और आई-बोर्ड (946) सूचना के हस्तांतरण के लिए एक संचार चैनल के रूप में डीएनएस का इस्तेमाल किया सिस्टम के बारे में (पहले पैकेट में, होस्टनाम, कार्यशील निर्देशिका, आंतरिक और बाहरी आईपी, दूसरे में, उपयोगकर्ता नाम और होस्टनाम)।
- उल्लू (3285) कलह सुरक्षा (557) और यिफ़पार्टी (1859) - सिस्टम पर डिस्कॉर्ड सेवा टोकन की पहचान करें और इसे बाहरी होस्ट को भेजें।
- ट्रर्फैब (287): पहचानकर्ता, होस्टनाम, और / आदि / पासवार्ड, / आदि / मेजबानों, / की सामग्री को बाहरी होस्ट को भेजता है।
- 10सेंट10 (490) - एक बाहरी होस्ट के लिए एक रिवर्स शेल कनेक्शन स्थापित किया।
यांडेक्स-yt (4183) - समझौता प्रणाली के बारे में एक संदेश प्रदर्शित किया और nda.ya.ru (api.ya.cc) के माध्यम से जारी अतिरिक्त कार्यों के बारे में अतिरिक्त जानकारी के साथ एक पृष्ठ पर पुनर्निर्देशित किया।
इसे देखते हुए, यह उल्लेख किया गया है कि पैकेट में उपयोग होने वाले बाहरी मेजबानों तक पहुँचने की विधि पर विशेष ध्यान दिया जाना चाहिए महत्वपूर्ण पैकेज और महत्वपूर्ण-पैकेज, जो अपनी गतिविधि को छिपाने के लिए पीईपीआई कैटलॉग में उपयोग किए जाने वाले फास्ट कंटेंट डिलीवरी नेटवर्क का उपयोग करते हैं।
वास्तव में, अनुरोध pypi.python.org सर्वर (HTTPS अनुरोध के भीतर SNI में python.org का नाम निर्दिष्ट करने सहित) को भेजे गए थे, लेकिन हमलावर द्वारा नियंत्रित सर्वर का नाम HTTP हेडर "होस्ट" में सेट किया गया था। ». सामग्री वितरण नेटवर्क ने डेटा संचारित करते समय pypi.python.org पर TLS कनेक्शन के मापदंडों का उपयोग करते हुए, हमलावर के सर्वर को एक समान अनुरोध भेजा।
का बुनियादी ढांचा पीईपीआई फास्टली कंटेंट डिलीवरी नेटवर्क द्वारा संचालित है, जो वार्निश के पारदर्शी प्रॉक्सी का उपयोग करता है विशिष्ट अनुरोधों को कैश करने के लिए, और प्रॉक्सी के माध्यम से HTTPS अनुरोधों को अग्रेषित करने के लिए समापन बिंदु सर्वर के बजाय सीडीएन-स्तरीय टीएलएस प्रमाणपत्र प्रसंस्करण का उपयोग करता है। गंतव्य होस्ट के बावजूद, अनुरोध प्रॉक्सी को भेजे जाते हैं, जो HTTP "होस्ट" हेडर द्वारा वांछित होस्ट की पहचान करता है, और डोमेन होस्ट नाम सीडीएन लोड बैलेंसर आईपी पते से जुड़े होते हैं जो सभी फास्टली क्लाइंट के विशिष्ट होते हैं।
हमलावरों का सर्वर भी तेजी से सीडीएन के साथ पंजीकृत होता है, जो सभी को निःशुल्क दर योजनाएँ प्रदान करता है और यहाँ तक कि अनाम पंजीकरण की भी अनुमति देता है। विशेष रूप से "रिवर्स शेल" बनाते समय पीड़ित को अनुरोध भेजने के लिए एक योजना का भी उपयोग किया जाता है, लेकिन हमलावर के मेजबान द्वारा शुरू किया गया। बाहर से, हमलावर के सर्वर के साथ बातचीत PyPI निर्देशिका के साथ एक वैध सत्र की तरह दिखती है, जिसे PyPI TLS प्रमाणपत्र के साथ एन्क्रिप्ट किया गया है। एक समान तकनीक, जिसे 'डोमेन फ़्रंटिंग' के रूप में जाना जाता है, पहले कुछ सीडीएन नेटवर्क पर प्रदान किए गए एचटीटीपीएस विकल्प का उपयोग करके, एसएनआई में डमी होस्ट को निर्दिष्ट करते हुए और होस्ट के नाम को पास करके, ताले को दरकिनार करके होस्टनाम को छिपाने के लिए सक्रिय रूप से इस्तेमाल किया गया था। एक टीएलएस सत्र के भीतर HTTP होस्ट हेडर में।
दुर्भावनापूर्ण गतिविधि को छिपाने के लिए, ट्रेवरसी2 पैकेज का अतिरिक्त रूप से उपयोग किया गया था, जो सर्वर के साथ बातचीत को सामान्य वेब ब्राउज़िंग के समान बनाता है।
pptest और ipboards पैकेट ने DNS सर्वर के अनुरोधों में उपयोगी जानकारी को एन्कोडिंग के आधार पर नेटवर्क गतिविधि को छिपाने के लिए एक अलग दृष्टिकोण का उपयोग किया। दुर्भावनापूर्ण सॉफ़्टवेयर DNS प्रश्नों को निष्पादित करके सूचना प्रसारित करता है, जिसमें कमांड और नियंत्रण सर्वर को प्रेषित डेटा सबडोमेन नाम में बेस 64 प्रारूप का उपयोग करके एन्कोड किया जाता है। एक हमलावर डोमेन के DNS सर्वर को नियंत्रित करके इन संदेशों को स्वीकार करता है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण से परामर्श कर सकते हैं निम्नलिखित लिंक में