Несколько дней назад пришло уведомление о том, что В каталоге PyPI обнаружено 11 пакетов, содержащих вредоносный код (Индекс пакета Python).
До того, как проблемы были обнаружены, всего пакетов было скачано около 38 тысяч раз Следует отметить, что обнаруженные вредоносные пакеты отличаются использованием изощренных методов сокрытия каналов связи с серверами злоумышленников.
Были обнаружены следующие пакеты:
- важный пакет (6305 загрузок) e важный пакет (12897): эти пакеты установить соединение с внешним сервером под видом подключения к pypi.python.org для обеспечения доступа к системе через оболочку (обратная оболочка) и используйте программу trevorc2, чтобы скрыть канал связи.
- пптест (10001) и IPboards (946): использовал DNS как канал связи для передачи информации о системе (в первом пакете имя хоста, рабочий каталог, внутренний и внешний IP-адрес, во втором - имя пользователя и имя хоста).
- сова луна (3285) DiscordБезопасность (557) у йиффпати (1859) - Определите служебный токен Discord в системе и отправьте его на внешний хост.
- тррфаб (287): отправляет идентификатор, имя хоста и содержимое / etc / passwd, / etc / hosts, / home на внешний хост.
- 10 центов 10 (490) - Установлено обратное соединение оболочки с внешним хостом.
яндекс-yt (4183): показывал сообщение о скомпрометированной системе и перенаправлял на страницу с дополнительной информацией о дополнительных действиях, выданных через nda.ya.ru (api.ya.cc).
При этом упоминается, что особое внимание следует уделить способу доступа к внешним хостам, которые используются в пакетах. importantpackage и important-package, которые используют сеть быстрой доставки контента, используемую в каталоге PyPI, чтобы скрыть свою активность.
Фактически, запросы были отправлены на сервер pypi.python.org (включая указание имени python.org в SNI в запросе HTTPS), но имя сервера, контролируемого злоумышленником, было установлено в заголовке HTTP «Host ». Сеть доставки контента отправила аналогичный запрос на сервер злоумышленника, используя параметры TLS-соединения с pypi.python.org при передаче данных.
Инфраструктура PyPI работает на сети Fastly Content Delivery Network, которая использует прозрачный прокси Varnish. для кэширования типичных запросов и использует обработку сертификатов TLS на уровне CDN, а не серверы конечных точек, для пересылки запросов HTTPS через прокси. Независимо от целевого хоста запросы отправляются на прокси-сервер, который идентифицирует желаемый хост по заголовку HTTP «Host», а имена хостов домена связаны с IP-адресами балансировщика нагрузки CDN, типичными для всех клиентов Fastly.
Сервер злоумышленников также быстро регистрируется в CDN., который предоставляет всем бесплатные тарифные планы и даже позволяет анонимную регистрацию. Примечательно также используется схема отправки запросов жертве при создании «обратной оболочки», но запущен хостом злоумышленника. Со стороны взаимодействие с сервером злоумышленника выглядит как законный сеанс с каталогом PyPI, зашифрованным с помощью сертификата PyPI TLS. Подобный метод, известный как «вход в домен», ранее активно использовался для сокрытия имени хоста путем обхода блокировок с использованием опции HTTPS, предоставляемой в некоторых сетях CDN, с указанием фиктивного хоста в SNI и передачей имени хоста. в заголовке узла HTTP в сеансе TLS.
Для сокрытия вредоносной активности дополнительно использовался пакет TrevorC2, что делает взаимодействие с сервером похожим на обычный просмотр веб-страниц.
В пакетах pptest и ipboards использовался другой подход к сокрытию сетевой активности, основанный на кодировании полезной информации в запросах к DNS-серверу. Вредоносное ПО передает информацию, выполняя DNS-запросы, в которых данные, передаваемые на управляющий сервер, кодируются с использованием формата base64 в имени поддомена. Злоумышленник принимает эти сообщения, контролируя DNS-сервер домена.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.