Pirms dažām dienām paziņojums, ka PyPI direktorijā tika identificētas 11 pakotnes, kas satur ļaunprātīgu kodu (Python pakotnes indekss).
Pirms tika konstatētas problēmas, pakotnes kopumā lejupielādētas aptuveni 38 tūkstošus reižu Jāatzīmē, ka atklātās ļaunprātīgās paketes ir ievērojamas ar sarežģītu metožu izmantošanu, lai slēptu sakaru kanālus ar uzbrucēju serveriem.
Atklātās pakas ir šādas:
- svarīga pakete (6305 lejupielādes) e Svarīga pakete (12897): šie iepakojumi izveidot savienojumu ar ārēju serveri aizsegā, lai izveidotu savienojumu ar pypi.python.org lai nodrošinātu čaulas piekļuvi sistēmai (reverse shell) un izmantojiet programmu trevorc2, lai paslēptu sakaru kanālu.
- pptest (10001) un ipboards (946): izmantoja DNS kā saziņas kanālu informācijas pārsūtīšanai par sistēmu (pirmajā paketē resursdatora nosaukums, darba direktorijs, iekšējais un ārējais IP, otrajā - lietotājvārds un resursdatora nosaukums).
- pūces mēness (3285), DiscordSafety (557) y yiffparty (1859) — identificējiet Discord pakalpojuma marķieri sistēmā un nosūtiet to ārējam resursdatoram.
- trrfab (287): nosūta / etc / passwd, / etc / hosts, / home identifikatoru, resursdatora nosaukumu un saturu ārējam saimniekdatoram.
- 10 centi 10 (490) — izveidots reversais apvalka savienojums ar ārēju resursdatoru.
yandex-yt (4183): parādīja ziņojumu par uzlauzto sistēmu un novirzīja uz lapu ar papildu informāciju par papildu darbībām, kas izdota caur nda.ya.ru (api.ya.cc).
Ņemot to vērā, tas ir minēts īpaša uzmanība jāpievērš metodei, kā piekļūt ārējiem resursdatoriem, kas tiek izmantoti paketēs Svarīga pakotne un svarīga pakotne, kas izmanto PyPI katalogā izmantoto Fastly satura piegādes tīklu, lai slēptu savu darbību.
Faktiski pieprasījumi tika nosūtīti uz pypi.python.org serveri (tostarp HTTPS pieprasījuma ietvaros SNI norādot python.org nosaukumu), bet uzbrucēja kontrolētā servera nosaukums tika iestatīts HTTP galvenē "Host ». Satura piegādes tīkls nosūtīja līdzīgu pieprasījumu uzbrucēja serverim, pārsūtot datus, izmantojot TLS savienojuma parametrus ar pypi.python.org.
Infrastruktūra PyPI nodrošina Fastly Content Delivery Network, kas izmanto Varnish caurspīdīgo starpniekserveri lai saglabātu kešatmiņu tipiskos pieprasījumus un izmanto CDN līmeņa TLS sertifikātu apstrādi, nevis galapunkta serverus, lai pārsūtītu HTTPS pieprasījumus caur starpniekserveri. Neatkarīgi no galamērķa resursdatora pieprasījumi tiek nosūtīti uz starpniekserveri, kas identificē vēlamo resursdatoru ar HTTP galveni "Host", un domēna resursdatora nosaukumi ir saistīti ar CDN slodzes līdzsvarotāja IP adresēm, kas raksturīgas visiem Fastly klientiem .
Uzbrucēju serveris arī reģistrējas pakalpojumā CDN Fastly, kas ikvienam nodrošina bezmaksas tarifu plānus un pat atļauj anonīmu reģistrāciju. Īpaši shēma tiek izmantota arī pieprasījumu nosūtīšanai upurim, veidojot "reverso apvalku", bet iesāka uzbrucēja saimnieks. No ārpuses mijiedarbība ar uzbrucēja serveri izskatās kā likumīga sesija ar PyPI direktoriju, kas šifrēta ar PyPI TLS sertifikātu. Līdzīga tehnika, kas pazīstama kā “domēna frontēšana”, iepriekš tika aktīvi izmantota, lai slēptu saimniekdatora nosaukumu, apejot bloķēšanas, izmantojot HTTPS opciju, kas nodrošināta dažos CDN tīklos, norādot fiktīvo saimniekdatoru SNI un nododot resursdatora nosaukumu. HTTP resursdatora galvenē TLS sesijā.
Ļaunprātīgās darbības slēpšanai papildus tika izmantota TrevorC2 pakotne, kas mijiedarbību ar serveri padara līdzīgu parastai tīmekļa pārlūkošanai.
Paketēs pptest un ipboards tika izmantota cita pieeja tīkla aktivitāšu slēpšanai, pamatojoties uz noderīgas informācijas kodēšanu pieprasījumos DNS serverim. Ļaunprātīga programmatūra pārraida informāciju, veicot DNS vaicājumus, kuros uz komandu un vadības serveri nosūtītie dati tiek kodēti, izmantojot apakšdomēna nosaukumā esošo base64 formātu. Uzbrucējs pieņem šos ziņojumus, kontrolējot domēna DNS serveri.
Visbeidzot, ja jūs interesē uzzināt vairāk par to, varat uzzināt sīkāku informāciju Šajā saitē.