OSCS(開(kāi)源軟件供應(yīng)鏈安全社區(qū))推出免費(fèi)的漏洞、投毒情報(bào)訂閱服務(wù)，社區(qū)用戶可通過(guò)機(jī)器人訂閱情報(bào)信息：https://www.oscs1024.com/?src=wx

背景概述

黑客通常使用受感染的機(jī)器而不是直接從個(gè)人擁有的設(shè)備發(fā)起攻擊，這使他們能夠隱藏其來(lái)源。

在最近的事件響應(yīng)中，Profero 的事件響應(yīng)團(tuán)隊(duì)調(diào)查了一種可能的情況，假設(shè)威脅參與者使用 Datacamp 的在線 IDE 對(duì)云基礎(chǔ)設(shè)施發(fā)起攻擊。

但是，因?yàn)?Datacamp、ISP 和在線 IDE 之間錯(cuò)綜復(fù)雜的關(guān)系，使得 Profero 的事件響應(yīng)團(tuán)隊(duì)對(duì)使用云 IDE 隱藏攻擊來(lái)源的想法很感興趣，并啟動(dòng)了一個(gè)研究項(xiàng)目來(lái)探索這一策略。

在線IDE是什么

在線IDE，也叫Cloud IDE，主要基于html5相關(guān)技術(shù)構(gòu)建，通常在瀏覽器里即可完成傳統(tǒng)IDE的大部分開(kāi)發(fā)工作。不幸的是，許多用戶和組織沒(méi)有正確配置他們的資源和云環(huán)境，導(dǎo)致惡意攻擊者發(fā)現(xiàn)并利用此錯(cuò)誤配置，發(fā)起攻擊行為。

DataCamp是一個(gè)國(guó)外的在線學(xué)習(xí)平臺(tái)，DataCamp projects 使用了Jupyter Notebook，Jupyter 是一個(gè)開(kāi)源 Web 應(yīng)用程序，其在 Github 上的 star 為13.6k，是一個(gè)允許用戶創(chuàng)建和共享文本的文檔。

Profero 的 Omri Segev Moyal 表示，惡意攻擊者可以濫用在線編程學(xué)習(xí)平臺(tái)來(lái)發(fā)起遠(yuǎn)程網(wǎng)絡(luò)攻擊、竊取數(shù)據(jù)并掃描易受攻擊的設(shè)備。DataCamp 允許攻擊者編譯惡意工具、托管或分發(fā)惡意軟件，并連接到外部服務(wù)。

在 DataCamp 平臺(tái)的個(gè)人工作區(qū)，有一個(gè)用于練習(xí)和執(zhí)行自定義代碼、上傳文件和連接到數(shù)據(jù)庫(kù)的 IDE。

此 IDE 允許用戶導(dǎo)入 Python/ target=_blank class=infotextkey>Python 庫(kù)、下載和編譯存儲(chǔ)庫(kù)，然后執(zhí)行編譯的程序。換句話說(shuō)，任何一個(gè)威脅參與者都可能直接從 DataCamp 平臺(tái)內(nèi)發(fā)起遠(yuǎn)程攻擊。

（DataCamp Python 編譯器中的端口掃描器）

如何通過(guò)在線IDE發(fā)起攻擊

1、代碼

在 Datacamp 網(wǎng)站上的使用示例之一，是演示如何連接到 PostgreSQL 服務(wù)器。

那換個(gè)角度想，既然可以連接到外部 PostgreSQL 服務(wù)器，其他服務(wù)器是否可行？云服務(wù)或者 Amazon S3 bucket 又會(huì)是什么結(jié)果？

在對(duì)攻擊者可能使用 DataCamp 的資源來(lái)達(dá)到隱藏攻擊來(lái)源的事件做出響應(yīng)后， Profero 公司的研究人員決定調(diào)查這種情況。

他們發(fā)現(xiàn) DataCamp 的高級(jí)在線 Python IDE 為用戶提供了安裝第三方模塊的能力，這些模塊允許連接到 Amazon S3 bucket。Omri Segev Moyal 表示，他們?cè)?DataCamp 平臺(tái)上嘗試了上述場(chǎng)景，能夠訪問(wèn) S3 bucket并將所有文件泄露到平臺(tái)網(wǎng)站上的工作區(qū)環(huán)境中。

要訪問(wèn) AWS 資源，首先安裝 boto3 模塊：

下一步是連接到 S3 bucket，羅列并下載其中的所有文件：

從攻防中的防御方來(lái)看，文件下載的 CloudTrail 日志如下：

文件上傳日志如下：

通過(guò)兩個(gè)日志可以看出，useragent 為：

這允許使用 boto 框架從 python 腳本中快速識(shí)別響應(yīng)，

另外，查看日志中的 ip 地址時(shí)，發(fā)現(xiàn)流量顯示來(lái)自 Amazon

由于 DataCamp 使用 AWS 的服務(wù)器，來(lái)自 DataCamp 的活動(dòng)很可能會(huì)成功執(zhí)行，而藍(lán)隊(duì)無(wú)法檢測(cè)到此類(lèi)的活動(dòng)。即使是那些進(jìn)一步檢查連接的人也會(huì)陷入死胡同，因?yàn)闆](méi)有已知的確定來(lái)源。

以上是可以執(zhí)行攻擊的基本示例，在使用 Github API、Azure API 和任何在線資源等其他場(chǎng)景時(shí)都可能受到此方法的影響。

2、工具

為了對(duì)攻擊場(chǎng)景的研究更進(jìn)一步，研究人員試圖導(dǎo)入或安裝通常用于網(wǎng)絡(luò)攻擊的工具，例如 Nmap 網(wǎng)絡(luò)映射工具。DataCamp 平臺(tái)無(wú)法直接安裝 Nmap，但 DataCamp 允許編譯它并從編譯目錄執(zhí)行二進(jìn)制文件，如圖：

Profero 的事件響應(yīng)團(tuán)隊(duì)還測(cè)試了他們是否可以使用終端上傳文件并獲取共享文件的鏈接。他們能夠上傳 EICAR——用于測(cè)試防病毒解決方案檢測(cè)的標(biāo)準(zhǔn)文件，并可以分享它的鏈接。

（EICAR 文件上傳到 DataCamp）

下載鏈接可用于通過(guò)簡(jiǎn)單的 Web 請(qǐng)求將其他惡意軟件下載到受感染的系統(tǒng)。

此外，這些下載鏈接可能會(huì)在其他類(lèi)型的攻擊中被濫用，例如托管惡意軟件以進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，或通過(guò)惡意軟件下載其他有效負(fù)載。

盡管 Profero 沒(méi)有將他們的研究擴(kuò)展到其他學(xué)習(xí)平臺(tái)，但研究人員認(rèn)為，DataCamp 并不是黑客可以濫用的唯一平臺(tái)。

參考鏈接

https://medium.com/proferosec-osm/online-programming-learning-sites-can-be-manipulated-by-hackers-to-launch-cyberattacks-a684d9f4daef

https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/