Néhány napja az értesítés, hogy 11 rosszindulatú kódot tartalmazó csomagot azonosítottunk a PyPI-könyvtárban (Python csomagindex).
Mielőtt a problémákat azonosították volna, csomagokat összesen mintegy 38 ezer alkalommal töltötték le Meg kell jegyezni, hogy az észlelt rosszindulatú csomagok kifinomult módszerek használatával elrejtik a kommunikációs csatornákat a támadók szervereivel.
A felfedezett csomagok a következők:
- fontos csomag (6305 letöltés) e fontos-csomag (12897): ezek a csomagok létesítsen kapcsolatot egy külső szerverrel a pypi.python.org webhelyhez való csatlakozás leple alatt hogy shell hozzáférést biztosítson a rendszerhez (fordított shell), és használja a trevorc2 programot a kommunikációs csatorna elrejtésére.
- ppteszt (10001) és ipboardok (946): a DNS-t használta kommunikációs csatornaként az információk továbbítására a rendszerről (az első csomagban a gépnév, a munkakönyvtár, a belső és külső IP, a másodikban a felhasználónév és a gazdagépnév).
- bagolyhold (3285), DiscordSafety (557) és yiffparty (1859) - Azonosítsa a Discord szolgáltatási tokent a rendszeren, és küldje el egy külső gazdagépnek.
- trrfab (287): Külső gazdagépnek küldi el az / etc / passwd, / etc / hosts / home azonosítóját, gazdagépnevét és tartalmát.
- 10 cent10 (490) - Fordított shell-kapcsolat létrehozása egy külső gazdagéphez.
yandex-yt (4183): üzenetet jelentetett meg a feltört rendszerről, és átirányított egy oldalra, amely további információkat tartalmaz a további műveletekről, az nda.ya.ru (api.ya.cc) webhelyen keresztül.
Erre tekintettel megemlítik, hogy különös figyelmet kell fordítani a csomagokban használt külső gazdagépek elérésének módjára fontospackage és fontos-package, amelyek a PyPI katalógusban használt Fastly tartalomszolgáltató hálózatot használják tevékenységük elrejtésére.
Valójában a kérések a pypi.python.org szervernek lettek elküldve (beleértve a python.org nevének megadását az SNI-ben a HTTPS kérésben), de a támadó által vezérelt szerver neve be lett állítva a HTTP fejlécben: "Host ». A tartalomszolgáltató hálózat hasonló kérést küldött a támadó szerverének, adatátvitelkor a pypi.python.org TLS-kapcsolat paramétereit használva.
Az infrastruktúra A PyPI-t a Fastly Content Delivery Network hajtja, amely a Varnish transzparens proxyját használja a tipikus kérések gyorsítótárazásához, és a végpontszerverek helyett CDN-szintű TLS-tanúsítvány-feldolgozást használ a HTTPS-kérelmek proxyn keresztüli továbbítására. A célállomástól függetlenül a kérések a proxynak kerülnek elküldésre, amely a HTTP „Host” fejléc alapján azonosítja a kívánt gazdagépet, a tartomány gazdagépnevei pedig az összes Fastly-kliensre jellemző CDN terheléselosztó IP-címéhez kapcsolódnak.
A támadók szervere is regisztrál a CDN Fastly szolgáltatásban, amely mindenki számára ingyenes díjcsomagokat biztosít, és még anonim regisztrációt is lehetővé tesz. Nevezetesen egy sémát arra is használnak, hogy kéréseket küldjenek az áldozatnak "fordított shell" létrehozásakor, hanem a támadó gazdája indította el. Kívülről a támadó szerverével való interakció úgy néz ki, mint a PyPI TLS-tanúsítvánnyal titkosított PyPI-könyvtárral folytatott legitim munkamenet. A „domain fronting” néven ismert hasonló technikát korábban aktívan használták a gazdagépnév elrejtésére a zárolások megkerülésével, a néhány CDN-hálózaton biztosított HTTPS-opció használatával, az SNI-ben megadva az üres gazdagépet, és átadva a gazdagép nevét. a HTTP gazdagép fejlécében egy TLS-munkameneten belül.
A rosszindulatú tevékenység elrejtésére a TrevorC2 csomagot is használták, amely a szerverrel való interakciót a normál webböngészéshez hasonlóvá teszi.
A pptest és az ipboards csomagok eltérő megközelítést alkalmaztak a hálózati tevékenységek elrejtésére, a DNS-kiszolgálóhoz intézett kérésekben található hasznos információk kódolása alapján. A rosszindulatú szoftverek DNS-lekérdezések végrehajtásával továbbítják az információkat, amelyek során a parancs- és vezérlőszervernek továbbított adatokat a base64 formátum használatával kódolják az aldomainnévben. A támadó a tartomány DNS-kiszolgálójának vezérlésével fogadja el ezeket az üzeneteket.
Végül, ha érdekel, hogy többet tudjon meg róla, olvassa el a részleteket A következő linken.