11 pako me qëllim të keq të zbuluar në PyPI

Darkcrizt

Minuta 4

Pak ditë më parë njoftimi se 11 paketa që përmbajnë kod me qëllim të keq u identifikuan në direktorinë PyPI (Indeksi i paketës Python).

Para se të identifikoheshin problemet, paketat janë shkarkuar rreth 38 mijë herë në total Duhet të theksohet se paketat me qëllim të keq të zbuluar janë të dukshme për përdorimin e metodave të sofistikuara për të fshehur kanalet e komunikimit me serverët e sulmuesve.

Pakot që u zbuluan janë si më poshtë:

  • paketë e rëndësishme (6305 shkarkime) e e rëndësishme-paketë (12897): këto pako krijoni një lidhje me një server të jashtëm nën maskën e lidhjes me pypi.python.org për të siguruar akses shell në sistem (predha e kundërt) dhe përdorni programin trevorc2 për të fshehur kanalin e komunikimit.
  • pptest (10001) dhe ipboards (946) përdori DNS si një kanal komunikimi për të transferuar informacion në lidhje me sistemin (në paketën e parë, emri i hostit, drejtoria e punës, IP e brendshme dhe e jashtme, në të dytën, emri i përdoruesit dhe emri i hostit).
  • bufi muna (3285), DiscordSafety (557) y yiffparty (1859) - Identifikoni shenjën e shërbimit Discord në sistem dhe dërgojeni atë te një host i jashtëm.
  • trrfab (287): Dërgon identifikuesin, emrin e hostit dhe përmbajtjen e / etc / passwd, / etc / hosts, / home te një host i jashtëm.
  • 10 cent10 (490) - Krijoi një lidhje të kundërt të guaskës me një host të jashtëm.
    yandex-yt (4183): tregoi një mesazh në lidhje me sistemin e komprometuar dhe ridrejtoi në një faqe me informacion shtesë në lidhje me veprimet shtesë, të lëshuar përmes nda.ya.ru (api.ya.cc).

Nisur nga kjo, përmendet se vëmendje e veçantë duhet t'i kushtohet metodës së aksesimit të hosteve të jashtëm që përdoren në pako importantpackage dhe important-package, të cilat përdorin rrjetin e shpërndarjes së përmbajtjes Fastly të përdorur në katalogun PyPI për të fshehur aktivitetin e tyre.

Në fakt, kërkesat u dërguan në serverin pypi.python.org (duke përfshirë specifikimin e emrit të python.org në SNI brenda kërkesës HTTPS), por emri i serverit të kontrolluar nga sulmuesi ishte vendosur në kokën HTTP "Host ». Rrjeti i shpërndarjes së përmbajtjes dërgoi një kërkesë të ngjashme në serverin e sulmuesit, duke përdorur parametrat e lidhjes TLS me pypi.python.org kur transmeton të dhëna.

Infrastruktura e PyPI mundësohet nga Fastly Content Delivery Network, i cili përdor përfaqësuesin transparent të Varnish për të memorizuar kërkesat tipike dhe përdor përpunimin e certifikatës TLS të nivelit CDN, në vend të serverëve të pikës fundore, për të përcjellë kërkesat HTTPS përmes përfaqësuesit. Pavarësisht nga hosti i destinacionit, kërkesat i dërgohen përfaqësuesit, i cili identifikon hostin e dëshiruar nga titulli "Host" i HTTP dhe emrat e hosteve të domenit lidhen me adresat IP të balancuesit të ngarkesës CDN, tipike për të gjithë klientët Fastly.

Serveri i sulmuesve gjithashtu regjistrohet me CDN Fastly, i cili u siguron të gjithëve plane tarifore falas dhe madje lejon regjistrimin anonim. Veçanërisht një skemë përdoret gjithashtu për t'i dërguar kërkesa viktimës kur krijon një "guaskë të kundërt", por filloi nga nikoqiri i sulmuesit. Nga jashtë, ndërveprimi me serverin e sulmuesit duket si një seancë legjitime me direktorinë PyPI, të koduar me certifikatën PyPI TLS. Një teknikë e ngjashme, e njohur si "përfaqja e domenit", është përdorur më parë në mënyrë aktive për të fshehur emrin e hostit duke anashkaluar bllokimet, duke përdorur opsionin HTTPS të ofruar në disa rrjete CDN, duke specifikuar hostin e rremë në SNI dhe duke kaluar emrin e hostit. kërkoi pritësi në kokën e hostit HTTP brenda një sesioni TLS.

Për të fshehur aktivitetin keqdashës, u përdor gjithashtu paketa TrevorC2, e cila e bën ndërveprimin me serverin të ngjashëm me shfletimin normal të internetit.

Paketat pptest dhe ipboards përdorën një qasje të ndryshme për të fshehur aktivitetin e rrjetit, bazuar në kodimin e informacionit të dobishëm në kërkesat për serverin DNS. Softueri me qëllim të keq transmeton informacion duke kryer pyetje DNS, në të cilat të dhënat e transmetuara në serverin e komandës dhe kontrollit kodohen duke përdorur formatin base64 në emrin e nëndomainit. Një sulmues i pranon këto mesazhe duke kontrolluar serverin DNS të domenit.

Së fundmi, nëse jeni të interesuar të dini më shumë rreth kësaj, mund të konsultoheni me detajet Në lidhjen vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.