Ze ontdekten 11 kwaadaardige pakketten in PyPI

Darkcrizt

4 minuten

Een paar dagen geleden de melding dat Er zijn 11 pakketten met kwaadaardige code geïdentificeerd in de PyPI-directory (Python-pakketindex).

Voordat problemen werden gesignaleerd, pakketten werden in totaal ongeveer 38 duizend keer gedownload Opgemerkt moet worden dat de gedetecteerde kwaadaardige pakketten opmerkelijk zijn vanwege het gebruik van geavanceerde methoden om communicatiekanalen met de servers van de aanvallers te verbergen.

De gevonden pakketten zijn de volgende:

  • belangrijk pakket (6305 downloads) belangrijk-pakket (12897): deze pakketten verbinding maken met een externe server onder het mom van verbinding maken met pypi.python.org om shell-toegang tot het systeem te verlenen (reverse shell) en gebruik het trevorc2-programma om het communicatiekanaal te verbergen.
  • pptest (10001) en ipborden (946): gebruikte DNS als communicatiekanaal om informatie over te dragen over het systeem (in het eerste pakket, de hostnaam, werkdirectory, interne en externe IP, in het tweede, de gebruikersnaam en de hostnaam).
  • uilenmaan (3285) DiscordVeiligheid (557) y yifffeestje (1859) - Identificeer het Discord-servicetoken op het systeem en stuur het naar een externe host.
  • trrfab (287): Stuurt de identifier, hostnaam en inhoud van / etc / passwd, / etc / hosts, / home naar een externe host.
  • 10cent10 (490) - Een reverse shell-verbinding met een externe host tot stand gebracht.
    yandex-yt (4183): toonde een bericht over het gecompromitteerde systeem en werd doorgestuurd naar een pagina met aanvullende informatie over aanvullende acties, uitgegeven via nda.ya.ru (api.ya.cc).

Gezien dit, wordt vermeld dat: speciale aandacht moet worden besteed aan de methode om toegang te krijgen tot externe hosts die in pakketten worden gebruikt belangrijkpakket en belangrijk-pakket, die het Fastly-netwerk voor inhoudslevering gebruiken dat in de PyPI-catalogus wordt gebruikt om hun activiteit te verbergen.

In feite werden de verzoeken verzonden naar de pypi.python.org-server (inclusief het specificeren van de naam van python.org in SNI binnen het HTTPS-verzoek), maar de naam van de server die door de aanvaller wordt beheerd, werd ingesteld in de HTTP-header "Host ». Het content delivery-netwerk stuurde een soortgelijk verzoek naar de server van de aanvaller, waarbij de parameters van de TLS-verbinding naar pypi.python.org werden gebruikt bij het verzenden van gegevens.

De infrastructuur van PyPI wordt mogelijk gemaakt door het Fastly Content Delivery Network, dat gebruikmaakt van de transparante proxy van Varnish om typische verzoeken in de cache op te slaan en gebruikt TLS-certificaatverwerking op CDN-niveau in plaats van eindpuntservers om HTTPS-verzoeken door te sturen via de proxy. Ongeacht de bestemmingshost worden verzoeken naar de proxy gestuurd, die de gewenste host identificeert door de HTTP "Host" -header, en de domeinhostnamen worden gekoppeld aan de CDN-loadbalancer-IP-adressen die typisch zijn voor alle Fastly-clients.

De server van de aanvaller registreert zich ook bij CDN Fastly, die iedereen gratis tariefplannen biedt en zelfs anonieme registratie mogelijk maakt. Opmerkelijk een schema wordt ook gebruikt om verzoeken naar het slachtoffer te sturen bij het maken van een "omgekeerde shell", maar begonnen door de gastheer van de aanvaller. Van buitenaf lijkt de interactie met de server van de aanvaller op een legitieme sessie met de PyPI-directory, versleuteld met het PyPI TLS-certificaat. Een vergelijkbare techniek, bekend als "domain fronting", werd eerder actief gebruikt om de hostnaam te verbergen door vergrendelingen te omzeilen, met behulp van de HTTPS-optie die op sommige CDN-netwerken wordt geboden, door de dummy-host in de SNI op te geven en de naam van de host door te geven. in de HTTP-hostheader binnen een TLS-sessie.

Om de kwaadaardige activiteit te verbergen, werd bovendien het TrevorC2-pakket gebruikt, waardoor de interactie met de server vergelijkbaar is met normaal surfen op het web.

De pptest- en ipboards-pakketten gebruikten een andere benadering om netwerkactiviteit te verbergen, gebaseerd op het coderen van nuttige informatie in verzoeken aan de DNS-server. Schadelijke software verzendt informatie door DNS-query's uit te voeren, waarbij gegevens die naar de command and control-server worden verzonden, worden gecodeerd met behulp van het base64-formaat in de subdomeinnaam. Een aanvaller accepteert deze berichten door de DNS-server van het domein te controleren.

Als u er tenslotte meer over wilt weten, kunt u de details raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.