เมื่อไม่กี่วันก่อนได้รับแจ้งว่า มีการระบุแพ็คเกจ 11 รายการที่มีรหัสที่เป็นอันตรายในไดเรกทอรี PyPI (ดัชนีแพ็คเกจหลาม)
ก่อนระบุปัญหา มีการดาวน์โหลดแพ็คเกจทั้งหมดประมาณ 38 ครั้ง ควรสังเกตว่าแพ็คเก็ตที่เป็นอันตรายที่ตรวจพบนั้นมีความโดดเด่นในการใช้วิธีการที่ซับซ้อนเพื่อซ่อนช่องทางการสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี
แพ็คเกจที่ค้นพบมีดังต่อไปนี้:
- แพ็คเกจสำคัญ (6305 ดาวน์โหลด) e แพ็คเกจสำคัญ (12897): แพ็คเกจเหล่านี้ สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก ภายใต้หน้ากากของการเชื่อมต่อกับ pypi.python.org เพื่อให้เชลล์เข้าถึงระบบได้ (เปลือกย้อนกลับ) และใช้โปรแกรม trevrc2 เพื่อซ่อนช่องทางการสื่อสาร
- พีพีเทส (10001) และ ไอพีบอร์ด (946): ใช้ DNS เป็นช่องทางการสื่อสารในการถ่ายโอนข้อมูล เกี่ยวกับระบบ (ในแพ็กเก็ตแรก, ชื่อโฮสต์, ไดเร็กทอรีการทำงาน, IP ภายในและภายนอกในแพ็กเก็ตที่สอง, ชื่อผู้ใช้และชื่อโฮสต์)
- นกฮูก (3285) ความปลอดภัย (557) y ปาร์ตี้ (1859) - ระบุโทเค็นบริการ Discord ในระบบและส่งไปยังโฮสต์ภายนอก
- เยี่ยมมาก (287): ส่งตัวระบุ ชื่อโฮสต์ และเนื้อหาของ / etc / passwd, / etc / hosts, / home ไปยังโฮสต์ภายนอก
- 10cent10 (490) - สร้างการเชื่อมต่อเชลล์แบบย้อนกลับกับโฮสต์ภายนอก
ยานเดกซ์-yt (4183): แสดงข้อความเกี่ยวกับระบบที่ถูกบุกรุกและเปลี่ยนเส้นทางไปยังหน้าที่มีข้อมูลเพิ่มเติมเกี่ยวกับการดำเนินการเพิ่มเติมที่ออกผ่าน nda.ya.ru (api.ya.cc)
จากข้อนี้ ได้กล่าวไว้ว่า ควรให้ความสนใจเป็นพิเศษกับวิธีการเข้าถึงโฮสต์ภายนอกที่ใช้ในแพ็กเก็ต แพ็คเกจสำคัญและแพ็คเกจสำคัญ ซึ่งใช้เครือข่ายการจัดส่งเนื้อหา Fastly ที่ใช้ในแค็ตตาล็อก PyPI เพื่อซ่อนกิจกรรม
อันที่จริง คำขอถูกส่งไปยังเซิร์ฟเวอร์ pypi.python.org (รวมถึงการระบุชื่อของ python.org ใน SNI ภายในคำขอ HTTPS) แต่ชื่อของเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีถูกตั้งค่าในส่วนหัว HTTP "Host ». เครือข่ายการส่งเนื้อหาส่งคำขอที่คล้ายกันไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยใช้พารามิเตอร์ของการเชื่อมต่อ TLS ไปยัง pypi.python.org เมื่อส่งข้อมูล
โครงสร้างพื้นฐานของ PyPI ขับเคลื่อนโดย Fastly Content Delivery Network ซึ่งใช้พร็อกซีโปร่งใสของ Varnish เพื่อแคชคำขอทั่วไป และใช้การประมวลผลใบรับรอง TLS ระดับ CDN แทนเซิร์ฟเวอร์ปลายทาง เพื่อส่งต่อคำขอ HTTPS ผ่านพร็อกซี คำขอจะถูกส่งไปยังพร็อกซีโดยไม่คำนึงถึงโฮสต์ปลายทาง ซึ่งระบุโฮสต์ที่ต้องการโดยส่วนหัว "โฮสต์" ของ HTTP และชื่อโฮสต์ของโดเมนจะเชื่อมโยงกับที่อยู่ IP ของตัวจัดสรรภาระงาน CDN โดยทั่วไปของไคลเอ็นต์ Fastly ทั้งหมด
เซิร์ฟเวอร์ของผู้โจมตียังลงทะเบียนกับ CDN Fastlyซึ่งให้แผนอัตราฟรีแก่ทุกคนและยังอนุญาตให้ลงทะเบียนแบบไม่เปิดเผยตัวตน สะดุดตา โครงการนี้ยังใช้เพื่อส่งคำขอไปยังเหยื่อเมื่อสร้าง "เปลือกย้อนกลับ" แต่เริ่มจากเจ้าบ้านฝ่ายรุก จากภายนอก การโต้ตอบกับเซิร์ฟเวอร์ของผู้โจมตีดูเหมือนเป็นเซสชันที่ถูกต้องกับไดเรกทอรี PyPI ซึ่งเข้ารหัสด้วยใบรับรอง PyPI TLS เทคนิคที่คล้ายคลึงกันนี้เรียกว่า "domain fronting" เคยถูกใช้อย่างแข็งขันเพื่อซ่อนชื่อโฮสต์โดยการข้ามการล็อกโดยใช้ตัวเลือก HTTPS ที่มีให้ในเครือข่าย CDN บางตัว ระบุโฮสต์จำลองใน SNI และส่งชื่อของโฮสต์ ในส่วนหัวโฮสต์ HTTP ภายในเซสชัน TLS
เพื่อซ่อนกิจกรรมที่เป็นอันตราย แพ็คเกจ TrevorC2 ถูกนำมาใช้เพิ่มเติม ซึ่งทำให้การโต้ตอบกับเซิร์ฟเวอร์คล้ายกับการท่องเว็บปกติ
แพ็กเก็ต pptest และ ipboards ใช้วิธีการอื่นในการซ่อนกิจกรรมเครือข่าย โดยอิงจากการเข้ารหัสข้อมูลที่เป็นประโยชน์ในคำขอไปยังเซิร์ฟเวอร์ DNS ซอฟต์แวร์ที่เป็นอันตรายส่งข้อมูลโดยดำเนินการค้นหา DNS ซึ่งข้อมูลที่ส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุมจะถูกเข้ารหัสโดยใช้รูปแบบ base64 ในชื่อโดเมนย่อย ผู้โจมตียอมรับข้อความเหล่านี้โดยการควบคุมเซิร์ฟเวอร์ DNS ของโดเมน
สุดท้ายหากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถปรึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.