Botaa3 skadelig programvare

En annen truende pakke ble oppdaget på Python Package Index (PyPI) repository. Før den ble fjernet, hadde trusselen rukket å samle opp rundt 130 nedlastinger. Pakken ble kalt 'botaa3' i et dårlig forsøk på å etterligne navnet 'boto3', det mye populære Amazon Web Services (AWS) Software Development Kit (SDK) for Python.

Eksperter på nettsikkerhet analyserte koden til trusselen og oppdaget dens uhyggelige evner. Botaa3-pakken, ifimplementert vellykket, ville gi angriperne muligheten til å utføre vilkårlig kode på det brutte systemet, og effektivt ta kontroll over det.

Tekniske detaljer

Botaa3-pakken inneholdt flere nivåer av obfuskering ved bruk av base64-koding og bitvis XOR-kryptering. I tillegg har den også hele koden til den legitime boto3-pakken. Faktisk installerer trusselen boto3 som en del av handlingene sine, i et forsøk på ytterligere å unngå å vekke mistanke. Begravd i koden er også en 'KillDate' satt til 17. november 2020. Etter denne datoen vil botaa3-pakken ikke lenger være operativ.

Truende evner

En av de første handlingene som skadelig programvare tar, er å sjekke med Command-and-Control-serveren (C2, C&C). I løpet av dette trinnet eksfiltrerer botaa3 ulike opplysninger hentet fra offerets system. Dataene inkluderer IP-adressen, OS og arkitekturdetaljer, kontolegitimasjon, vertsnavn, FQDN (fullt kvalifisert domenenavn) og mer.

Etterpå vil botaa3 vente på innkommende kommandoer. Trusselaktørene er i stand til å samle inn filer eller laste ned flere, manipulere filsystemet (slette filer og mapper), åpne omvendte skjell, laste inn flere Python-moduler og skript, etc. Angriperne kan også instruere skadevaren om å stoppe aktivitetene og legge seg. sovende.

Etter å ha blitt varslet om tilstedeværelsen av botaa3-trusselen, tok PyPI-sikkerhetsteamet handling nesten umiddelbart og fjernet den truende pakken.