For noen dager siden meldingen om at 11 pakker som inneholder skadelig kode ble identifisert i PyPI-katalogen (Python-pakkeindeks).
Før problemer ble identifisert, pakker ble lastet ned omtrent 38 tusen ganger totalt Det bør bemerkes at de ondsinnede pakkene som oppdages, er kjent for bruk av sofistikerte metoder for å skjule kommunikasjonskanaler med angripernes servere.
Pakkene som ble oppdaget er følgende:
- viktig pakke (6305 nedlastinger) e viktig-pakke (12897): disse pakkene opprette en tilkobling til en ekstern server under dekke av å koble til pypi.python.org for å gi skalltilgang til systemet (omvendt skall) og bruk trevorc2-programmet for å skjule kommunikasjonskanalen.
- pptest (10001) e ipboards (946) brukte DNS som kommunikasjonskanal for å overføre informasjon om systemet (i den første pakken, vertsnavnet, arbeidskatalogen, intern og ekstern IP, i den andre, brukernavnet og vertsnavnet).
- uglemåne (3285) DiscordSafety (557) y yiffparty (1859) - Identifiser Discord-tjenestetokenet på systemet og send det til en ekstern vert.
- trrfab (287): Sender identifikatoren, vertsnavnet og innholdet til / etc / passwd, / etc / hosts, / hjem til en ekstern vert.
- 10 cent10 (490) - Etablert en omvendt skallforbindelse til en ekstern vert.
yandex-yt (4183) - viste en melding om det kompromitterte systemet og omdirigert til en side med tilleggsinformasjon om ytterligere handlinger, utstedt gjennom nda.ya.ru (api.ya.cc).
Gitt dette er det nevnt at spesiell oppmerksomhet bør rettes mot metoden for tilgang til eksterne verter som brukes i pakker viktig pakke og viktig pakke, som bruker Fastly innholdsleveringsnettverket som brukes i PyPI-katalogen for å skjule aktiviteten deres.
Faktisk ble forespørslene sendt til pypi.python.org-serveren (inkludert spesifikasjon av navnet på python.org i SNI i HTTPS-forespørselen), men navnet på serveren kontrollert av angriperen ble satt i HTTP-overskriften "Vert ». Innholdsleveringsnettverket sendte en lignende forespørsel til angriperens server, ved å bruke parameterne for TLS-tilkoblingen til pypi.python.org ved overføring av data.
Infrastrukturen til PyPI drives av Fastly Content Delivery Network, som bruker Varnishs transparente proxy for å bufre typiske forespørsler, og bruker TLS-sertifikatbehandling på CDN-nivå, i stedet for endepunktservere, for å videresende HTTPS-forespørsler gjennom proxyen. Uavhengig av destinasjonsverten, sendes forespørsler til proxyen, som identifiserer den ønskede verten ved hjelp av HTTP "Host"-overskriften, og domenevertsnavnene er knyttet til CDN load balancer IP-adresser som er typiske for alle Fastly-klienter.
Angripernes server registreres også hos CDN Fastly, som gir alle gratis prisplaner og til og med tillater anonym registrering. Spesielt en ordning brukes også for å sende forespørsler til offeret når du oppretter et "omvendt skall", men startet av angriperens vert. Fra utsiden ser interaksjonen med angriperens server ut som en legitim økt med PyPI-katalogen, kryptert med PyPI TLS-sertifikatet. En lignende teknikk, kjent som 'domenefronting', ble tidligere brukt aktivt for å skjule vertsnavnet ved å omgå låser, ved å bruke HTTPS-alternativet på enkelte CDN-nettverk, spesifisere dummy-verten i SNI og sende navnet på verten. i HTTP-vertsoverskriften i en TLS-økt.
For å skjule den ondsinnede aktiviteten ble TrevorC2-pakken i tillegg brukt, noe som gjør interaksjonen med serveren lik normal nettsurfing.
pptest- og ipboards-pakkene brukte en annen tilnærming for å skjule nettverksaktivitet, basert på koding av nyttig informasjon i forespørsler til DNS-serveren. Ondsinnet programvare overfører informasjon ved å utføre DNS-spørringer, der data som overføres til kommando- og kontrollserveren, kodes ved å bruke base64-formatet i underdomenenavnet. En angriper godtar disse meldingene ved å kontrollere domenets DNS-server.
Til slutt, hvis du er interessert i å vite mer om det, kan du konsultere detaljene I den følgende lenken.