Beberapa hari yang lalu pemberitahuan bahwa 11 paket yang berisi kode berbahaya diidentifikasi di direktori PyPI (indeks paket python).
Sebelum masalah diidentifikasi, paket diunduh sekitar 38 ribu kali secara total Perlu dicatat bahwa paket berbahaya yang terdeteksi terkenal karena penggunaan metode canggih untuk menyembunyikan saluran komunikasi dengan server penyerang.
Paket-paket yang ditemukan adalah sebagai berikut:
- paket penting (6305 unduhan) e paket penting (12897): paket-paket ini buat koneksi ke server eksternal dengan kedok menghubungkan ke pypi.python.org untuk menyediakan akses shell ke sistem (reverse shell) dan gunakan program trevorc2 untuk menyembunyikan saluran komunikasi.
- tes pp (10001) dan papan ip (946): menggunakan DNS sebagai saluran komunikasi untuk mentransfer informasi tentang sistem (dalam paket pertama, nama host, direktori kerja, IP internal dan eksternal, di paket kedua, nama pengguna dan nama host).
- burung hantu (3285) Keamanan Perselisihan (557) y pesta yiff (1859) - Identifikasi token layanan Discord pada sistem dan kirimkan ke host eksternal.
- trrfab (287): Mengirim pengenal, nama host, dan konten /etc/passwd, /etc/hosts, /home ke host eksternal.
- 10sen10 (490) - Membuat koneksi shell terbalik ke host eksternal.
yandex-yt (4183): menunjukkan pesan tentang sistem yang disusupi dan diarahkan ke halaman dengan informasi tambahan tentang tindakan tambahan, dikeluarkan melalui nda.ya.ru (api.ya.cc).
Mengingat ini, disebutkan bahwa perhatian khusus harus diberikan pada metode mengakses host eksternal yang digunakan dalam paket paket penting dan paket penting, yang menggunakan jaringan pengiriman konten Fastly yang digunakan dalam katalog PyPI untuk menyembunyikan aktivitasnya.
Sebenarnya, permintaan dikirim ke server pypi.python.org (termasuk menentukan nama python.org dalam SNI dalam permintaan HTTPS), tetapi nama server yang dikendalikan oleh penyerang ditetapkan di header HTTP "Host ». Jaringan pengiriman konten mengirim permintaan serupa ke server penyerang, menggunakan parameter koneksi TLS ke pypi.python.org saat mengirimkan data.
Infrastruktur dari PyPI didukung oleh Fastly Content Delivery Network, yang menggunakan proxy transparan Varnish untuk menyimpan permintaan umum, dan menggunakan pemrosesan sertifikat TLS tingkat CDN, bukan server titik akhir, untuk meneruskan permintaan HTTPS melalui proxy. Terlepas dari host tujuan, permintaan dikirim ke proxy, yang mengidentifikasi host yang diinginkan dengan header "Host" HTTP, dan nama host domain ditautkan ke alamat IP penyeimbang beban CDN yang khas dari semua klien Fastly .
Server penyerang juga mendaftar dengan CDN Fastly, yang memberi semua orang paket tarif gratis dan bahkan memungkinkan pendaftaran anonim. Terutama skema juga digunakan untuk mengirim permintaan ke korban saat membuat "cangkang terbalik", tetapi dimulai oleh tuan rumah penyerang. Dari luar, interaksi dengan server penyerang tampak seperti sesi yang sah dengan direktori PyPI, dienkripsi dengan sertifikat TLS PyPI. Teknik serupa, yang dikenal sebagai 'domain fronting', sebelumnya digunakan secara aktif untuk menyembunyikan nama host dengan melewati kunci, menggunakan opsi HTTPS yang disediakan di beberapa jaringan CDN, menentukan host tiruan di SNI dan meneruskan nama host. di header host HTTP dalam sesi TLS.
Untuk menyembunyikan aktivitas jahat, paket TrevorC2 juga digunakan, yang membuat interaksi dengan server mirip dengan penjelajahan web biasa.
Paket pptest dan ipboards menggunakan pendekatan berbeda untuk menyembunyikan aktivitas jaringan, berdasarkan pengkodean informasi yang berguna dalam permintaan ke server DNS. Perangkat lunak berbahaya mengirimkan informasi dengan melakukan kueri DNS, di mana data yang dikirimkan ke server perintah dan kontrol dikodekan menggunakan format base64 dalam nama subdomain. Penyerang menerima pesan ini dengan mengontrol server DNS domain.
Terakhir, jika Anda tertarik untuk mengetahuinya lebih lanjut, Anda bisa melihat detailnya Di tautan berikut.