IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> 在线编程 IDE = 远程网络攻击? -> 正文阅读

[开发工具]在线编程 IDE = 远程网络攻击?

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=wx

背景概述

黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。

在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。

但是,因为 Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得 Profero 的事件响应团队对使用云 IDE 隐藏攻击来源的想法很感兴趣,并启动了一个研究项目来探索这一策略。

在线IDE是什么

在线IDE,也叫Cloud IDE,主要基于HTML5相关技术构建,通常在浏览器里即可完成传统IDE的大部分开发工作。不幸的是,许多用户和组织没有正确配置他们的资源和云环境,导致恶意攻击者发现并利用此错误配置,发起攻击行为。

DataCamp是一个国外的在线学习平台,DataCamp projects 使用了Jupyter Notebook,Jupyter 是一个开源 Web 应用程序,其在 Github 上的 star 为13.6k,是一个允许用户创建和共享文本的文档。

Profero 的 Omri Segev Moyal 表示,恶意攻击者可以滥用在线编程学习平台来发起远程网络攻击、窃取数据并扫描易受攻击的设备。DataCamp 允许攻击者编译恶意工具、托管或分发恶意软件,并连接到外部服务。

在 DataCamp 平台的个人工作区,有一个用于练习和执行自定义代码、上传文件和连接到数据库的 IDE。

此 IDE 允许用户导入 Python 库、下载和编译存储库,然后执行编译的程序。换句话说,任何一个威胁参与者都可能直接从 DataCamp 平台内发起远程攻击。

图片

(DataCamp Python 编译器中的端口扫描器)

如何通过在线IDE发起攻击

1、代码

在 Datacamp 网站上的使用示例之一,是演示如何连接到 PostgreSQL 服务器。

那换个角度想,既然可以连接到外部 PostgreSQL 服务器,其他服务器是否可行?云服务或者 Amazon S3 bucket 又会是什么结果?

在对攻击者可能使用 DataCamp 的资源来达到隐藏攻击来源的事件做出响应后, Profero 公司的研究人员决定调查这种情况。

他们发现 DataCamp 的高级在线 Python IDE 为用户提供了安装第三方模块的能力,这些模块允许连接到 Amazon S3 bucket。Omri Segev Moyal 表示,他们在 DataCamp 平台上尝试了上述场景,能够访问 S3 bucket并将所有文件泄露到平台网站上的工作区环境中。

要访问 AWS 资源,首先安装 boto3 模块:

图片

下一步是连接到 S3 bucket,罗列并下载其中的所有文件:

图片

从攻防中的防御方来看,文件下载的 CloudTrail 日志如下:
在这里插入图片描述

文件上传日志如下:
在这里插入图片描述

通过两个日志可以看出,useragent 为:
在这里插入图片描述

这允许使用 boto 框架从 python 脚本中快速识别响应,

另外,查看日志中的 ip 地址时,发现流量显示来自 Amazon

图片

由于 DataCamp 使用 AWS 的服务器,来自 DataCamp 的活动很可能会成功执行,而蓝队无法检测到此类的活动。即使是那些进一步检查连接的人也会陷入死胡同,因为没有已知的确定来源。

以上是可以执行攻击的基本示例,在使用 Github API、Azure API 和任何在线资源等其他场景时都可能受到此方法的影响。

2、工具

为了对攻击场景的研究更进一步,研究人员试图导入或安装通常用于网络攻击的工具,例如 Nmap 网络映射工具。DataCamp 平台无法直接安装 Nmap,但 DataCamp 允许编译它并从编译目录执行二进制文件,如图:

图片

Profero 的事件响应团队还测试了他们是否可以使用终端上传文件并获取共享文件的链接。他们能够上传 EICAR——用于测试防病毒解决方案检测的标准文件,并可以分享它的链接。

图片

(EICAR 文件上传到 DataCamp)

下载链接可用于通过简单的 Web 请求将其他恶意软件下载到受感染的系统。

此外,这些下载链接可能会在其他类型的攻击中被滥用,例如托管恶意软件以进行网络钓鱼攻击,或通过恶意软件下载其他有效负载。

尽管 Profero 没有将他们的研究扩展到其他学习平台,但研究人员认为,DataCamp 并不是黑客可以滥用的唯一平台。

图片

参考链接

https://medium.com/proferosec-osm/online-programming-learning-sites-can-be-manipulated-by-hackers-to-launch-cyberattacks-a684d9f4daef

https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2022-07-17 16:44:21  更:2022-07-17 16:48:12 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 20:44:14-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码