என்று சில நாட்களுக்கு முன் அறிவிப்பு PyPI கோப்பகத்தில் தீங்கிழைக்கும் குறியீட்டைக் கொண்ட 11 தொகுப்புகள் அடையாளம் காணப்பட்டன (பைத்தான் தொகுப்பு அட்டவணை).
பிரச்சனைகளை கண்டறியும் முன், தொகுப்புகள் மொத்தம் சுமார் 38 ஆயிரம் முறை பதிவிறக்கம் செய்யப்பட்டன கண்டறியப்பட்ட தீங்கிழைக்கும் பாக்கெட்டுகள் தாக்குபவர்களின் சேவையகங்களுடன் தொடர்பு சேனல்களை மறைக்க அதிநவீன முறைகளைப் பயன்படுத்துவதில் குறிப்பிடத்தக்கவை என்பதைக் கவனத்தில் கொள்ள வேண்டும்.
கண்டுபிடிக்கப்பட்ட தொகுப்புகள் பின்வருமாறு:
- முக்கியமான தொகுப்பு (6305 பதிவிறக்கங்கள்) இ முக்கியமான தொகுப்பு (12897): இந்த தொகுப்புகள் வெளிப்புற சேவையகத்துடன் இணைப்பை நிறுவவும் pypi.python.org உடன் இணைக்கும் போர்வையில் கணினிக்கு ஷெல் அணுகலை வழங்க (ரிவர்ஸ் ஷெல்) மற்றும் தகவல்தொடர்பு சேனலை மறைக்க trevorc2 நிரலைப் பயன்படுத்தவும்.
- pptest (10001) இ ipboards (946) தகவல் பரிமாற்றத்திற்கான தகவல் தொடர்பு சேனலாக DNS ஐப் பயன்படுத்தியது கணினியைப் பற்றி (முதல் பாக்கெட்டில், ஹோஸ்ட்பெயர், வேலை செய்யும் அடைவு, உள் மற்றும் வெளிப்புற ஐபி, இரண்டாவது, பயனர்பெயர் மற்றும் ஹோஸ்ட்பெயர்).
- ஆந்தை நிலவு (3285) டிஸ்கார்ட் பாதுகாப்பு (557) மற்றும் yiffparty (1859) - கணினியில் உள்ள டிஸ்கார்ட் சேவை டோக்கனைக் கண்டறிந்து அதை வெளிப்புற ஹோஸ்டுக்கு அனுப்பவும்.
- trrfab (287): / etc / passwd, / etc / hosts, / home இன் அடையாளங்காட்டி, ஹோஸ்ட்பெயர் மற்றும் உள்ளடக்கத்தை வெளிப்புற ஹோஸ்டுக்கு அனுப்புகிறது.
- 10 சென்ட்10 (490) - வெளிப்புற ஹோஸ்டுக்கு ரிவர்ஸ் ஷெல் இணைப்பு நிறுவப்பட்டது.
yandex-yt (4183) - nda.ya.ru (api.ya.cc) மூலம் வழங்கப்பட்ட கூடுதல் செயல்கள் பற்றிய கூடுதல் தகவலுடன் சமரசம் செய்யப்பட்ட அமைப்பு பற்றிய செய்தியைக் காண்பிக்கும்.
இதன்போது, இவ்வாறு குறிப்பிடப்பட்டுள்ளது பாக்கெட்டுகளில் பயன்படுத்தப்படும் வெளிப்புற ஹோஸ்ட்களை அணுகும் முறைக்கு சிறப்பு கவனம் செலுத்தப்பட வேண்டும் முக்கியமான தொகுப்பு மற்றும் முக்கியமான-தொகுப்பு, அவற்றின் செயல்பாட்டை மறைக்க PyPI அட்டவணையில் பயன்படுத்தப்படும் வேகமாக உள்ளடக்க விநியோக நெட்வொர்க்கைப் பயன்படுத்துகிறது.
உண்மையில், கோரிக்கைகள் pypi.python.org சேவையகத்திற்கு அனுப்பப்பட்டன (HTTPS கோரிக்கையில் SNI இல் python.org இன் பெயரைக் குறிப்பிடுவது உட்பட), ஆனால் தாக்குபவர் கட்டுப்படுத்தும் சேவையகத்தின் பெயர் HTTP தலைப்பு "ஹோஸ்ட்" இல் அமைக்கப்பட்டது. ». தரவை அனுப்பும் போது TLS இணைப்பின் அளவுருக்களைப் பயன்படுத்தி pypi.python.org க்கு உள்ளடக்க விநியோக நெட்வொர்க் இதேபோன்ற கோரிக்கையை தாக்குபவர்களின் சேவையகத்திற்கு அனுப்பியது.
இன் உள்கட்டமைப்பு PyPI ஆனது ஃபாஸ்ட்லி கன்டென்ட் டெலிவரி நெட்வொர்க்கால் இயக்கப்படுகிறது, இது வார்னிஷின் வெளிப்படையான ப்ராக்ஸியைப் பயன்படுத்துகிறது. வழக்கமான கோரிக்கைகளை கேச் செய்ய, மற்றும் ப்ராக்ஸி மூலம் HTTPS கோரிக்கைகளை அனுப்ப, எண்ட்பாயிண்ட் சர்வர்களை விட CDN-நிலை TLS சான்றிதழ் செயலாக்கத்தைப் பயன்படுத்துகிறது. இலக்கு ஹோஸ்ட்டைப் பொருட்படுத்தாமல், கோரிக்கைகள் ப்ராக்ஸிக்கு அனுப்பப்படும், இது HTTP "ஹோஸ்ட்" தலைப்பு மூலம் விரும்பிய ஹோஸ்டை அடையாளப்படுத்துகிறது, மேலும் டொமைன் ஹோஸ்ட் பெயர்கள் அனைத்து ஃபாஸ்ட்லி கிளையன்ட்களுக்கும் பொதுவான CDN லோட் பேலன்சர் IP முகவரிகளுடன் இணைக்கப்பட்டுள்ளன.
தாக்குபவர்களின் சர்வரும் CDN ஃபாஸ்ட்லியில் பதிவு செய்கிறது, இது அனைவருக்கும் இலவச கட்டணத் திட்டங்களை வழங்குகிறது மற்றும் அநாமதேய பதிவுகளையும் அனுமதிக்கிறது. குறிப்பிடத்தக்கது "தலைகீழ் ஷெல்" உருவாக்கும் போது பாதிக்கப்பட்டவருக்கு கோரிக்கைகளை அனுப்பவும் ஒரு திட்டம் பயன்படுத்தப்படுகிறது, ஆனால் தாக்குதல் நடத்துபவரால் தொடங்கப்பட்டது. வெளியில் இருந்து பார்த்தால், தாக்குபவரின் சேவையகத்துடனான தொடர்பு, PyPI TLS சான்றிதழுடன் குறியாக்கம் செய்யப்பட்ட PyPI கோப்பகத்துடன் ஒரு முறையான அமர்வு போல் தெரிகிறது. சில CDN நெட்வொர்க்குகளில் வழங்கப்பட்ட HTTPS விருப்பத்தைப் பயன்படுத்தி, SNI இல் போலி ஹோஸ்ட்டைக் குறிப்பிட்டு, ஹோஸ்ட் பெயரைக் குறிப்பிட்டு, புரவலன் பெயரை மறைப்பதற்கு, 'டொமைன் ஃபிரண்டிங்' எனப்படும் இதேபோன்ற நுட்பம், பூட்டுகளைத் தவிர்த்து, ஹோஸ்ட்பெயரை மறைப்பதற்கு முன்பு தீவிரமாகப் பயன்படுத்தப்பட்டது. TLS அமர்வுக்குள் HTTP ஹோஸ்ட் தலைப்பில்.
தீங்கிழைக்கும் செயல்பாட்டை மறைக்க, TrevorC2 தொகுப்பு கூடுதலாகப் பயன்படுத்தப்பட்டது, இது சர்வருடனான தொடர்புகளை சாதாரண இணைய உலாவலைப் போலவே செய்கிறது.
Pptest மற்றும் ipboards பாக்கெட்டுகள் DNS சேவையகத்திற்கான கோரிக்கைகளில் பயனுள்ள தகவல்களை குறியாக்கம் செய்வதன் அடிப்படையில் பிணைய செயல்பாட்டை மறைக்க வேறுபட்ட அணுகுமுறையைப் பயன்படுத்துகின்றன. தீங்கிழைக்கும் மென்பொருள் DNS வினவல்களைச் செய்வதன் மூலம் தகவலை அனுப்புகிறது, இதில் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு அனுப்பப்படும் தரவு துணை டொமைன் பெயரில் base64 வடிவமைப்பைப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகிறது. டொமைனின் DNS சர்வரைக் கட்டுப்படுத்துவதன் மூலம் தாக்குபவர் இந்தச் செய்திகளை ஏற்றுக்கொள்கிறார்.
இறுதியாக, நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை அணுகலாம் பின்வரும் இணைப்பில்.