您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

在线编程 IDE = 远程网络攻击?

时间:2022-07-11 11:43:01  来源:  作者:OSCS开源社区

OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=wx

背景概述

黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。

在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。

但是,因为 Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得 Profero 的事件响应团队对使用云 IDE 隐藏攻击来源的想法很感兴趣,并启动了一个研究项目来探索这一策略。

在线IDE是什么

在线IDE,也叫Cloud IDE,主要基于html5相关技术构建,通常在浏览器里即可完成传统IDE的大部分开发工作。不幸的是,许多用户和组织没有正确配置他们的资源和云环境,导致恶意攻击者发现并利用此错误配置,发起攻击行为。

DataCamp是一个国外的在线学习平台,DataCamp projects 使用了Jupyter Notebook,Jupyter 是一个开源 Web 应用程序,其在 Github 上的 star 为13.6k,是一个允许用户创建和共享文本的文档。

Profero 的 Omri Segev Moyal 表示,恶意攻击者可以滥用在线编程学习平台来发起远程网络攻击、窃取数据并扫描易受攻击的设备。DataCamp 允许攻击者编译恶意工具、托管或分发恶意软件,并连接到外部服务。

在 DataCamp 平台的个人工作区,有一个用于练习和执行自定义代码、上传文件和连接到数据库的 IDE。

此 IDE 允许用户导入 Python/ target=_blank class=infotextkey>Python 库、下载和编译存储库,然后执行编译的程序。换句话说,任何一个威胁参与者都可能直接从 DataCamp 平台内发起远程攻击。

在线编程 IDE = 远程网络攻击?

 

(DataCamp Python 编译器中的端口扫描器)

如何通过在线IDE发起攻击

1、代码

在 Datacamp 网站上的使用示例之一,是演示如何连接到 PostgreSQL 服务器。

那换个角度想,既然可以连接到外部 PostgreSQL 服务器,其他服务器是否可行?云服务或者 Amazon S3 bucket 又会是什么结果?

在对攻击者可能使用 DataCamp 的资源来达到隐藏攻击来源的事件做出响应后, Profero 公司的研究人员决定调查这种情况。

他们发现 DataCamp 的高级在线 Python IDE 为用户提供了安装第三方模块的能力,这些模块允许连接到 Amazon S3 bucket。Omri Segev Moyal 表示,他们在 DataCamp 平台上尝试了上述场景,能够访问 S3 bucket并将所有文件泄露到平台网站上的工作区环境中。

要访问 AWS 资源,首先安装 boto3 模块:

在线编程 IDE = 远程网络攻击?

 

下一步是连接到 S3 bucket,罗列并下载其中的所有文件:

在线编程 IDE = 远程网络攻击?

 

从攻防中的防御方来看,文件下载的 CloudTrAIl 日志如下:

在线编程 IDE = 远程网络攻击?

 

文件上传日志如下:

在线编程 IDE = 远程网络攻击?

 

通过两个日志可以看出,useragent 为:

在线编程 IDE = 远程网络攻击?

 

这允许使用 boto 框架从 python 脚本中快速识别响应,

另外,查看日志中的 ip 地址时,发现流量显示来自 Amazon

在线编程 IDE = 远程网络攻击?

 

由于 DataCamp 使用 AWS 的服务器,来自 DataCamp 的活动很可能会成功执行,而蓝队无法检测到此类的活动。即使是那些进一步检查连接的人也会陷入死胡同,因为没有已知的确定来源。

以上是可以执行攻击的基本示例,在使用 Github API、Azure API 和任何在线资源等其他场景时都可能受到此方法的影响。

2、工具

为了对攻击场景的研究更进一步,研究人员试图导入或安装通常用于网络攻击的工具,例如 Nmap 网络映射工具。DataCamp 平台无法直接安装 Nmap,但 DataCamp 允许编译它并从编译目录执行二进制文件,如图:

在线编程 IDE = 远程网络攻击?

 

Profero 的事件响应团队还测试了他们是否可以使用终端上传文件并获取共享文件的链接。他们能够上传 EICAR——用于测试防病毒解决方案检测的标准文件,并可以分享它的链接。

在线编程 IDE = 远程网络攻击?

 

(EICAR 文件上传到 DataCamp)

下载链接可用于通过简单的 Web 请求将其他恶意软件下载到受感染的系统。

此外,这些下载链接可能会在其他类型的攻击中被滥用,例如托管恶意软件以进行网络钓鱼攻击,或通过恶意软件下载其他有效负载。

尽管 Profero 没有将他们的研究扩展到其他学习平台,但研究人员认为,DataCamp 并不是黑客可以滥用的唯一平台。

在线编程 IDE = 远程网络攻击?

 

参考链接

https://medium.com/proferosec-osm/online-programming-learning-sites-can-be-manipulated-by-hackers-to-launch-cyberattacks-a684d9f4daef

https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/



Tags:在线编程   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
在线编程 IDE = 远程网络攻击?
OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息:https://www.oscs1024.com/?src=wx背景概述黑客通常使用受感染的机器而不...【详细内容】
2022-07-11  Search: 在线编程  点击:(467)  评论:(0)  加入收藏
在线编程 IDE 居然可被黑客用于发起远程网络攻击
安全研究人员警告说,黑客可以滥用在线编程学习平台来远程发起网络攻击、窃取数据并扫描易受攻击的设备,只需使用网络浏览器。至少有一个这样的平台,称为 DataCamp,允许威胁参与...【详细内容】
2022-07-10  Search: 在线编程  点击:(460)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(107)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(142)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(128)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(148)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(225)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(210)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(232)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(347)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(253)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(376)  评论:(0)  加入收藏
站内最新
站内热门
站内头条