Site icon Kiber.ba

Maliciozni Python paket sakriva Silver C2 Framework unutar PNG datoteke

Đorđe
Zlonamjerni paket Python paket sakriva Silver C2 Framework unutar PNG datoteke-Kiber.ba

Zlonamjerni paket Python paket sakriva Silver C2 Framework unutar PNG datoteke-Kiber.ba

Napadač je objavio maliciozni paket na PyPI-ju pod nazivom „requests-darwin-lite“, maskiran kao varijanta popularne biblioteke „requests“, koja je sadržala skriveni binarni Golang unutar neobično velike verzije legitimne slike logotipa „requests“.

Izvršenje binarne datoteke je bilo uslovno, pokretalo se samo na određenim sistemskim identifikatorima, što je sugerisalo ciljani napad ili testnu fazu pre šire distribucije.

Paket legitimnih zahtjeva koristi atribut `cmdclass` u svojoj datoteci `setup.pi` da bi prilagodio izvršenje testa tokom instalacije, što definiše klasu pod nazivom `PyTest` koja nasljeđuje TestCommand.

Ova klasa zamjenjuje nekoliko metoda za konfigurisanje argumenata za alatku `pytest`, a metoda `initialize_options` pokušava da uveze `multiprocessing` i koristi funkciju `cpu_count` da odredi broj jezgara i u skladu sa tim konfiguriše paralelno testiranje.

Ako uvoz `multiprocessing` ne uspije, podrazumijevano se izvršavaju testovi sa jednim procesom.

Maliciozni requests-darwin-lite paket modifikuje metod `run` prilagođene klase `PyInstall` da bi provjerio da li je sistem macOS, a ako jeste, dekodira base64 kodirani string koji sadrži komandu za dobijanje UUID sistema.

Zatim izdvaja određeni dio izlaza koji sadrži UUID i upoređuje ga sa čvrsto kodiranom vrijednošću. Ako se poklapaju, izdvaja određeni dio sadržaja iz datoteke pod nazivom „requests-sidebar-large.png“ i upisuje je u novu datoteku pod nazivom „output“ u privremenom direktorijumu.

Postavlja dozvole „izlaza“ na izvršnu datoteku i pokreće je, što sugeriše da se maliciozni kod ugrađen u datoteku slike izvršava samo na macOS mašinama koje ispunjavaju određene kriterijume.

Napadač je napravio malicioznu verziju paketa „zahtjeva“, a tokom instalacije na macOS-u, skripta koja cilja na UUID sistema se dekodira i izvršava.

Ako UUID odgovara unaprijed određenoj vrijednosti, napadač krade podatke iz određene datoteke unutar paketa.

Traženi logo projekta

Napadač je distribuisao naizgled normalnu PNG sliku („requests-sidebar-large.png“) koja je bila mnogo veća od očekivanog (17MB) i sadržavala je skrivene podatke dodane na kraj.

Iako je osnovna tehnika steganografije, dodatni podaci nisu uticali na to kako je slika prikazana.

Napadačev kod je identifikovao ovu datoteku kao binarne podatke, izdvojio skrivene podatke iz određenog ofseta unutar datoteke i upisao je u novu datoteku, koja je vjerovatno sadržala maliciozni kod, koji je zatim napravljen kao izvršni i tiho pokrenut na mašini žrtve

Modifikovana instalacijska kuka iz kasnijih verzija requests-darwin-lite-a

Narušio je Python paket „requests-darwin-lite“ tako što je ubacio dropper kod u njegovu zakačicu za instalaciju tako što je preuzeo Go binarni fajl skriven unutar PNG slike.

Analitičari kompanije Phylum sumnjaju da je binarni fajl OSKS/Silver, alat sličan Cobalt Strike-u. Napadači su sami uklonili prve dve zaražene verzije, treća je uključivala dropper, ali ne i maliciozno opterećenje, a poslednja verzija je bila čista. Nakon otkrića, PyPI je uklonio cijeli paket.

Izvor: CyberSecurityNews

Exit mobile version