Prieš kelias dienas pranešimas, kad PyPI kataloge buvo identifikuota 11 paketų su kenkėjišku kodu („Python“ paketo indeksas).
Prieš nustatant problemas, paketų iš viso buvo atsiųsta apie 38 tūkst Reikėtų pažymėti, kad aptikti kenkėjiški paketai pasižymi sudėtingais metodais, kuriais siekiama paslėpti ryšio kanalus su užpuolikų serveriais.
Buvo aptikti šie paketai:
- svarbus paketas (6305 atsisiuntimai) e svarbu-paketas (12897): šie paketai užmegzti ryšį su išoriniu serveriu prisidengiant prisijungimu prie pypi.python.org suteikti apvalkalo prieigą prie sistemos (atvirkštinis apvalkalas) ir naudokite programą trevorc2, kad paslėptumėte ryšio kanalą.
- pptest (10001) ir ipboards (946): naudojo DNS kaip ryšio kanalą informacijai perduoti apie sistemą (pirmame pakete – pagrindinio kompiuterio pavadinimas, darbo katalogas, vidinis ir išorinis IP, antrajame – vartotojo vardas ir kompiuterio pavadinimas).
- pelėda mėnulis (3285) DiscordSafety (557), y yiffparty (1859) – sistemoje atpažinkite „Discord“ paslaugos prieigos raktą ir nusiųskite jį į išorinį pagrindinį kompiuterį.
- trrfab (287): siunčia / etc / passwd, / etc / hosts, / home identifikatorių, pagrindinio kompiuterio pavadinimą ir turinį išoriniam kompiuteriui.
- 10 centų 10 (490) – Sukurtas atvirkštinis apvalkalo ryšys su išoriniu pagrindiniu kompiuteriu.
yandex-yt (4183) - rodomas pranešimas apie pažeistą sistemą ir nukreiptas į puslapį su papildoma informacija apie papildomus veiksmus, paskelbtą per nda.ya.ru (api.ya.cc).
Atsižvelgiant į tai, minima ypatingas dėmesys turėtų būti skiriamas prieigos prie išorinių kompiuterių, naudojamų paketuose, metodui Svarbus paketas ir svarbus paketas, kurie savo veiklai paslėpti naudoja PyPI kataloge naudojamą Fastly turinio pristatymo tinklą.
Tiesą sakant, užklausos buvo išsiųstos į pypi.python.org serverį (įskaitant python.org pavadinimo nurodymą SNI HTTPS užklausoje), tačiau užpuoliko valdomo serverio pavadinimas buvo nustatytas HTTP antraštėje „Host“ ». Turinio pristatymo tinklas išsiuntė panašią užklausą užpuoliko serveriui, naudodamas TLS ryšio parametrus į pypi.python.org, kai perduoda duomenis.
Infrastruktūra „PyPI“ veikia „Fastly Content Delivery Network“, kuris naudoja skaidrų „Varnish“ tarpinį serverį talpykloje saugoti įprastas užklausas ir naudoti CDN lygio TLS sertifikatų apdorojimą, o ne galutinio taško serverius, kad HTTPS užklausos būtų persiunčiamos per tarpinį serverį. Neatsižvelgiant į paskirties pagrindinį kompiuterį, užklausos siunčiamos įgaliotajam serveriui, kuris identifikuoja pageidaujamą pagrindinį kompiuterį pagal HTTP antraštę „Host“, o domeno prieglobos pavadinimai susiejami su CDN apkrovos balansavimo priemonės IP adresais, būdingais visiems „Fastly“ klientams .
Užpuoliko serveris taip pat registruojasi „CDN Fastly“., kuri suteikia visiems nemokamus tarifų planus ir netgi leidžia anonimiškai registruotis. Pažymėtina schema taip pat naudojama siunčiant užklausas aukai kuriant „atvirkštinį apvalkalą“, bet pradėjo užpuoliko šeimininkas. Iš išorės sąveika su užpuoliko serveriu atrodo kaip teisėta sesija su PyPI katalogu, užšifruota PyPI TLS sertifikatu. Panaši technika, žinoma kaip „domeno sąsaja“, anksčiau buvo aktyviai naudojama norint paslėpti pagrindinio kompiuterio pavadinimą apeinant užraktus, naudojant kai kuriuose CDN tinkluose pateiktą HTTPS parinktį, nurodant netikrą prieglobą SNI ir perduodant pagrindinio kompiuterio pavadinimą. HTTP prieglobos antraštėje per TLS sesiją.
Norėdami paslėpti kenkėjišką veiklą, papildomai buvo naudojamas TrevorC2 paketas, dėl kurio sąveika su serveriu yra panaši į įprastą naršymą internete.
„pptest“ ir „ipboards“ paketuose buvo naudojamas kitoks tinklo veiklos slėpimo būdas, pagrįstas naudingos informacijos kodavimu DNS serverio užklausose. Kenkėjiška programinė įranga perduoda informaciją vykdydama DNS užklausas, kurių metu komandų ir valdymo serveriui perduodami duomenys subdomeno pavadinime užkoduojami naudojant base64 formatą. Užpuolikas priima šiuos pranešimus valdydamas domeno DNS serverį.
Galiausiai, jei norite sužinoti apie tai daugiau, galite sužinoti išsamią informaciją Šioje nuorodoje.