Birkaç gün önce gelen bildirim PyPI dizininde kötü amaçlı kod içeren 11 paket tespit edildi (Python paket dizini).
Sorunlar tespit edilmeden önce, paketler toplamda yaklaşık 38 bin kez indirildi Tespit edilen kötü amaçlı paketlerin, saldırganların sunucuları ile iletişim kanallarını gizlemek için karmaşık yöntemlerin kullanımı açısından dikkate değer olduğu belirtilmelidir.
Keşfedilen paketler şunlardır:
- önemli paket (6305 indirme) e önemli paket (12897): bu paketler harici bir sunucuya bağlantı kurun pypi.python.org'a bağlanma kisvesi altında sisteme kabuk erişimi sağlamak için (ters kabuk) ve iletişim kanalını gizlemek için trevorc2 programını kullanın.
- pptesti (10001) ve ipboard'lar (946): DNS'yi bilgi aktarmak için bir iletişim kanalı olarak kullandı sistem hakkında (ilk pakette ana bilgisayar adı, çalışma dizini, dahili ve harici IP, ikincisinde kullanıcı adı ve ana bilgisayar adı).
- baykuş (3285) AnlaşmazlıkGüvenlik (557) y yiff partisi (1859) - Sistemdeki Discord hizmet belirtecini tanımlayın ve harici bir ana bilgisayara gönderin.
- trffab (287): / etc / passwd, / etc / hosts, / home'un tanımlayıcısını, ana bilgisayar adını ve içeriğini harici bir ana bilgisayara gönderir.
- 10cent10 (490) - Harici bir ana bilgisayara ters kabuk bağlantısı kuruldu.
yandex-yt (4183): güvenliği ihlal edilen sistem hakkında bir mesaj gösterdi ve nda.ya.ru (api.ya.cc) aracılığıyla yayınlanan ek eylemler hakkında ek bilgiler içeren bir sayfaya yönlendirildi.
Bu göz önüne alındığında, bahsedildiği paketlerde kullanılan harici ana bilgisayarlara erişim yöntemine özel dikkat gösterilmelidir. faaliyetlerini gizlemek için PyPI kataloğunda kullanılan Fastly içerik dağıtım ağını kullanan önemli paket ve önemli paket.
Aslında, istekler pypi.python.org sunucusuna gönderildi (HTTPS isteği içinde SNI'de python.org adının belirtilmesi dahil), ancak saldırgan tarafından kontrol edilen sunucunun adı HTTP başlığında "Host" ayarlandı. ». İçerik dağıtım ağı, verileri iletirken pypi.python.org'a TLS bağlantısının parametrelerini kullanarak saldırganın sunucusuna benzer bir istek gönderdi.
Altyapısı PyPI, Varnish'in şeffaf proxy'sini kullanan Fastly Content Delivery Network tarafından desteklenmektedir tipik istekleri önbelleğe almak ve HTTPS isteklerini proxy aracılığıyla iletmek için uç nokta sunucuları yerine CDN düzeyinde TLS sertifika işlemeyi kullanır. Hedef ana bilgisayardan bağımsız olarak, HTTP "Ana Bilgisayar" başlığıyla istenen ana bilgisayarı tanımlayan proxy'ye istekler gönderilir ve alan ana bilgisayar adları, tüm Fastly istemcilerinde tipik olan CDN yük dengeleyici IP adreslerine bağlanır.
Saldırganların sunucusu ayrıca CDN Fastly'ye kaydolurherkese ücretsiz fiyat planları sağlayan ve hatta anonim kayıtlara izin veren . özellikle "ters kabuk" oluştururken kurbana istek göndermek için bir şema da kullanılır, ancak saldırganın ev sahibi tarafından başlatıldı. Dışarıdan, saldırganın sunucusuyla etkileşim, PyPI TLS sertifikasıyla şifrelenmiş PyPI dizini ile meşru bir oturum gibi görünüyor. 'Etki alanı önü' olarak bilinen benzer bir teknik, daha önce kilitleri atlayarak, bazı CDN ağlarında sağlanan HTTPS seçeneğini kullanarak, SNI'de sahte ana bilgisayarı belirterek ve ana bilgisayarın adını ileterek ana bilgisayar adını gizlemek için aktif olarak kullanılıyordu. bir TLS oturumu içindeki HTTP ana bilgisayar başlığında.
Kötü amaçlı etkinliği gizlemek için, sunucu ile etkileşimi normal web taramasına benzer hale getiren TrevorC2 paketi ek olarak kullanıldı.
pptest ve ipboards paketleri, DNS sunucusuna yapılan isteklerde yararlı bilgileri kodlamaya dayalı olarak ağ etkinliğini gizlemek için farklı bir yaklaşım kullandı. Kötü amaçlı yazılım, komuta ve kontrol sunucusuna iletilen verilerin alt alan adındaki base64 formatı kullanılarak kodlandığı DNS sorguları gerçekleştirerek bilgi iletir. Saldırgan, etki alanının DNS sunucusunu kontrol ederek bu mesajları kabul eder.
Son olarak, daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. Aşağıdaki bağlantıda.