För några dagar sedan meddelandet att 11 paket som innehåller skadlig kod identifierades i PyPI-katalogen (Python-paketindex).
Innan problem identifierades, paket laddades ner cirka 38 tusen gånger totalt Det bör noteras att de skadliga paketen som upptäckts är anmärkningsvärda för användningen av sofistikerade metoder för att dölja kommunikationskanaler med angriparnas servrar.
Paketen som upptäcktes är följande:
- viktigt paket (6305 nedladdningar) e viktigt-paket (12897): dessa paket upprätta en anslutning till en extern server under sken av att ansluta till pypi.python.org för att ge skal åtkomst till systemet (omvänd skal) och använd trevorc2-programmet för att dölja kommunikationskanalen.
- pptest (10001) och ipboards (946): använde DNS som en kommunikationskanal för att överföra information om systemet (i det första paketet värdnamnet, arbetskatalogen, intern och extern IP, i det andra användarnamnet och värdnamnet).
- ugglemåne (3285), DiscordSafety (557) y yiffparty (1859) - Identifiera Discord-tjänsttokenen på systemet och skicka den till en extern värd.
- trrfab (287): Skickar identifieraren, värdnamnet och innehållet för / etc / passwd, / etc / hosts, / hem till en extern värd.
- 10 cent10 (490) - Etablerade en omvänd skalanslutning till en extern värd.
yandex-yt (4183): visade ett meddelande om det komprometterade systemet och omdirigerades till en sida med ytterligare information om ytterligare åtgärder, utfärdat via nda.ya.ru (api.ya.cc).
Med tanke på detta nämns det att särskild uppmärksamhet bör ägnas åt metoden för åtkomst till externa värdar som används i paket viktigt paket och viktigt paket, som använder Fastly innehållsleveransnätverket som används i PyPI-katalogen för att dölja sin aktivitet.
Faktum är att förfrågningarna skickades till pypi.python.org-servern (inklusive angivande av namnet på python.org i SNI inom HTTPS-förfrågan), men namnet på servern som kontrollerades av angriparen sattes i HTTP-rubriken "Host" ». Innehållsleveransnätverket skickade en liknande begäran till angriparens server, med hjälp av parametrarna för TLS-anslutningen till pypi.python.org vid överföring av data.
Infrastrukturen för PyPI drivs av Fastly Content Delivery Network, som använder Varnishs transparenta proxy för att cachelagra typiska förfrågningar och använder TLS-certifikatbearbetning på CDN-nivå, snarare än slutpunktsservrar, för att vidarebefordra HTTPS-förfrågningar via proxyn. Oavsett destinationsvärd skickas förfrågningar till proxyn, som identifierar den önskade värden med HTTP "Host"-huvudet, och domänvärdnamnen är länkade till CDN-belastningsutjämnarens IP-adresser som är typiska för alla Fastly-klienter.
Angriparnas server registreras också hos CDN Fastly, som ger alla gratis prisplaner och till och med tillåter anonym registrering. I synnerhet ett schema används också för att skicka förfrågningar till offret när man skapar ett "omvänt skal", men startade av angriparens värd. Från utsidan ser interaktionen med angriparens server ut som en legitim session med PyPI-katalogen, krypterad med PyPI TLS-certifikatet. En liknande teknik, känd som "domänfronting", användes tidigare aktivt för att dölja värdnamnet genom att kringgå lås, med hjälp av HTTPS-alternativet som finns på vissa CDN-nätverk, specificera dummyvärden i SNI:n och skicka namnet på värddatorn. i HTTP-värdhuvudet i en TLS-session.
För att dölja den skadliga aktiviteten användes dessutom TrevorC2-paketet, vilket gör att interaktionen med servern liknar normal webbsurfning.
Paketen pptest och ipboards använde ett annat tillvägagångssätt för att dölja nätverksaktivitet, baserat på kodning av användbar information i förfrågningar till DNS-servern. Skadlig programvara överför information genom att utföra DNS-frågor, där data som överförs till kommando- och kontrollservern kodas med formatet base64 i underdomännamnet. En angripare accepterar dessa meddelanden genom att kontrollera domänens DNS-server.
Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljerna I följande länk.