OSCS(開源軟體供應鍊安全社群)推出免費的漏洞、投毒情報訂閱服務,社群使用者可通過機器人訂閱情報資訊:https://www.oscs1024.com/?src=wx
背景概述
黑客通常使用受感染的機器而不是直接從個人擁有的裝置發起攻擊,這使他們能夠隐藏其來源。
在最近的事件響應中,Profero 的事件響應團隊調查了一種可能的情況,假設威脅參與者使用 Datacamp 的線上 IDE 對雲基礎設施發起攻擊。
但是,因為 Datacamp、ISP 和線上 IDE 之間錯綜複雜的關系,使得 Profero 的事件響應團隊對使用雲 IDE 隐藏攻擊來源的想法很感興趣,并啟動了一個研究項目來探索這一政策。
線上IDE是什麼
線上IDE,也叫Cloud IDE,主要基于HTML5相關技術建構,通常在浏覽器裡即可完成傳統IDE的大部分開發工作。不幸的是,許多使用者群組織沒有正确配置他們的資源和雲環境,導緻惡意攻擊者發現并利用此錯誤配置,發起攻擊行為。
DataCamp是一個國外的線上學習平台,DataCamp projects 使用了Jupyter Notebook,Jupyter 是一個開源 Web 應用程式,其在 Github 上的 star 為13.6k,是一個允許使用者建立和共享文本的文檔。
Profero 的 Omri Segev Moyal 表示,惡意攻擊者可以濫用線上程式設計學習平台來發起遠端網絡攻擊、竊取資料并掃描易受攻擊的裝置。DataCamp 允許攻擊者編譯惡意工具、托管或分發惡意軟體,并連接配接到外部服務。
在 DataCamp 平台的個人工作區,有一個用于練習和執行自定義代碼、上傳檔案和連接配接到資料庫的 IDE。
此 IDE 允許使用者導入 Python 庫、下載下傳和編譯存儲庫,然後執行編譯的程式。換句話說,任何一個威脅參與者都可能直接從 DataCamp 平台内發起遠端攻擊。
(DataCamp Python 編譯器中的端口掃描器)
如何通過線上IDE發起攻擊
1、代碼
在 Datacamp 網站上的使用示例之一,是示範如何連接配接到 PostgreSQL 伺服器。
那換個角度想,既然可以連接配接到外部 PostgreSQL 伺服器,其他伺服器是否可行?雲服務或者 Amazon S3 bucket 又會是什麼結果?
在對攻擊者可能使用 DataCamp 的資源來達到隐藏攻擊來源的事件做出響應後, Profero 公司的研究人員決定調查這種情況。
他們發現 DataCamp 的進階線上 Python IDE 為使用者提供了安裝第三方子產品的能力,這些子產品允許連接配接到 Amazon S3 bucket。Omri Segev Moyal 表示,他們在 DataCamp 平台上嘗試了上述場景,能夠通路 S3 bucket并将所有檔案洩露到平台網站上的工作區環境中。
要通路 AWS 資源,首先安裝 boto3 子產品:
下一步是連接配接到 S3 bucket,羅列并下載下傳其中的所有檔案:
從攻防中的防禦方來看,檔案下載下傳的 CloudTrail 日志如下:
檔案上傳日志如下:
通過兩個日志可以看出,useragent 為:
這允許使用 boto 架構從 python 腳本中快速識别響應,
另外,檢視日志中的 ip 位址時,發現流量顯示來自 Amazon
由于 DataCamp 使用 AWS 的伺服器,來自 DataCamp 的活動很可能會成功執行,而藍隊無法檢測到此類的活動。即使是那些進一步檢查連接配接的人也會陷入死胡同,因為沒有已知的确定來源。
以上是可以執行攻擊的基本示例,在使用 Github API、Azure API 和任何線上資源等其他場景時都可能受到此方法的影響。
2、工具
為了對攻擊場景的研究更進一步,研究人員試圖導入或安裝通常用于網絡攻擊的工具,例如 Nmap 網絡映射工具。DataCamp 平台無法直接安裝 Nmap,但 DataCamp 允許編譯它并從編譯目錄執行二進制檔案,如圖:
Profero 的事件響應團隊還測試了他們是否可以使用終端上傳檔案并擷取共享檔案的連結。他們能夠上傳 EICAR——用于測試防病毒解決方案檢測的标準檔案,并可以分享它的連結。
(EICAR 檔案上傳到 DataCamp)
下載下傳連結可用于通過簡單的 Web 請求将其他惡意軟體下載下傳到受感染的系統。
此外,這些下載下傳連結可能會在其他類型的攻擊中被濫用,例如托管惡意軟體以進行網絡釣魚攻擊,或通過惡意軟體下載下傳其他有效負載。
盡管 Profero 沒有将他們的研究擴充到其他學習平台,但研究人員認為,DataCamp 并不是黑客可以濫用的唯一平台。