OSCS(開源軟件供應(yīng)鏈安全社區(qū))推出免費的漏洞、投毒情報訂閱服務(wù)，社區(qū)用戶可通過機器人訂閱情報信息：https://www.oscs1024.com/?src=wx

背景概述

黑客通常使用受感染的機器而不是直接從個人擁有的設(shè)備發(fā)起攻擊，這使他們能夠隱藏其來源。

在最近的事件響應(yīng)中，Profero 的事件響應(yīng)團隊調(diào)查了一種可能的情況，假設(shè)威脅參與者使用 Datacamp 的在線 IDE 對云基礎(chǔ)設(shè)施發(fā)起攻擊。

但是，因為 Datacamp、ISP 和在線 IDE 之間錯綜復(fù)雜的關(guān)系，使得 Profero 的事件響應(yīng)團隊對使用云 IDE 隱藏攻擊來源的想法很感興趣，并啟動了一個研究項目來探索這一策略。

在線IDE是什么

在線IDE，也叫Cloud IDE，主要基于html5相關(guān)技術(shù)構(gòu)建，通常在瀏覽器里即可完成傳統(tǒng)IDE的大部分開發(fā)工作。不幸的是，許多用戶和組織沒有正確配置他們的資源和云環(huán)境，導(dǎo)致惡意攻擊者發(fā)現(xiàn)并利用此錯誤配置，發(fā)起攻擊行為。

DataCamp是一個國外的在線學(xué)習(xí)平臺，DataCamp projects 使用了Jupyter Notebook，Jupyter 是一個開源 Web 應(yīng)用程序，其在 Github 上的 star 為13.6k，是一個允許用戶創(chuàng)建和共享文本的文檔。

Profero 的 Omri Segev Moyal 表示，惡意攻擊者可以濫用在線編程學(xué)習(xí)平臺來發(fā)起遠(yuǎn)程網(wǎng)絡(luò)攻擊、竊取數(shù)據(jù)并掃描易受攻擊的設(shè)備。DataCamp 允許攻擊者編譯惡意工具、托管或分發(fā)惡意軟件，并連接到外部服務(wù)。

在 DataCamp 平臺的個人工作區(qū)，有一個用于練習(xí)和執(zhí)行自定義代碼、上傳文件和連接到數(shù)據(jù)庫的 IDE。

此 IDE 允許用戶導(dǎo)入 Python/ target=_blank class=infotextkey>Python 庫、下載和編譯存儲庫，然后執(zhí)行編譯的程序。換句話說，任何一個威脅參與者都可能直接從 DataCamp 平臺內(nèi)發(fā)起遠(yuǎn)程攻擊。

（DataCamp Python 編譯器中的端口掃描器）

如何通過在線IDE發(fā)起攻擊

1、代碼

在 Datacamp 網(wǎng)站上的使用示例之一，是演示如何連接到 PostgreSQL 服務(wù)器。

那換個角度想，既然可以連接到外部 PostgreSQL 服務(wù)器，其他服務(wù)器是否可行？云服務(wù)或者 Amazon S3 bucket 又會是什么結(jié)果？

在對攻擊者可能使用 DataCamp 的資源來達(dá)到隱藏攻擊來源的事件做出響應(yīng)后， Profero 公司的研究人員決定調(diào)查這種情況。

他們發(fā)現(xiàn) DataCamp 的高級在線 Python IDE 為用戶提供了安裝第三方模塊的能力，這些模塊允許連接到 Amazon S3 bucket。Omri Segev Moyal 表示，他們在 DataCamp 平臺上嘗試了上述場景，能夠訪問 S3 bucket并將所有文件泄露到平臺網(wǎng)站上的工作區(qū)環(huán)境中。

要訪問 AWS 資源，首先安裝 boto3 模塊：

下一步是連接到 S3 bucket，羅列并下載其中的所有文件：

從攻防中的防御方來看，文件下載的 CloudTrail 日志如下：

文件上傳日志如下：

通過兩個日志可以看出，useragent 為：

這允許使用 boto 框架從 python 腳本中快速識別響應(yīng)，

另外，查看日志中的 ip 地址時，發(fā)現(xiàn)流量顯示來自 Amazon

由于 DataCamp 使用 AWS 的服務(wù)器，來自 DataCamp 的活動很可能會成功執(zhí)行，而藍(lán)隊無法檢測到此類的活動。即使是那些進一步檢查連接的人也會陷入死胡同，因為沒有已知的確定來源。

以上是可以執(zhí)行攻擊的基本示例，在使用 Github API、Azure API 和任何在線資源等其他場景時都可能受到此方法的影響。

2、工具

為了對攻擊場景的研究更進一步，研究人員試圖導(dǎo)入或安裝通常用于網(wǎng)絡(luò)攻擊的工具，例如 Nmap 網(wǎng)絡(luò)映射工具。DataCamp 平臺無法直接安裝 Nmap，但 DataCamp 允許編譯它并從編譯目錄執(zhí)行二進制文件，如圖：

Profero 的事件響應(yīng)團隊還測試了他們是否可以使用終端上傳文件并獲取共享文件的鏈接。他們能夠上傳 EICAR——用于測試防病毒解決方案檢測的標(biāo)準(zhǔn)文件，并可以分享它的鏈接。

（EICAR 文件上傳到 DataCamp）

下載鏈接可用于通過簡單的 Web 請求將其他惡意軟件下載到受感染的系統(tǒng)。

此外，這些下載鏈接可能會在其他類型的攻擊中被濫用，例如托管惡意軟件以進行網(wǎng)絡(luò)釣魚攻擊，或通過惡意軟件下載其他有效負(fù)載。

盡管 Profero 沒有將他們的研究擴展到其他學(xué)習(xí)平臺，但研究人員認(rèn)為，DataCamp 并不是黑客可以濫用的唯一平臺。

參考鏈接

https://medium.com/proferosec-osm/online-programming-learning-sites-can-be-manipulated-by-hackers-to-launch-cyberattacks-a684d9f4daef

https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/