OSCS(開源軟件供應鏈安全社區)推出免費的漏洞、投毒情報訂閱服務，社區用戶可通過機器人訂閱情報信息：https://www.oscs1024.com/?src=wx

背景概述

黑客通常使用受感染的機器而不是直接從個人擁有的設備發起攻擊，這使他們能夠隱藏其來源。

在最近的事件響應中，Profero 的事件響應團隊調查了一種可能的情況，假設威脅參與者使用 Datacamp 的在線 IDE 對云基礎設施發起攻擊。

但是，因為 Datacamp、ISP 和在線 IDE 之間錯綜復雜的關系，使得 Profero 的事件響應團隊對使用云 IDE 隱藏攻擊來源的想法很感興趣，并啟動了一個研究項目來探索這一策略。

在線IDE是什么

在線IDE，也叫Cloud IDE，主要基于html5相關技術構建，通常在瀏覽器里即可完成傳統IDE的大部分開發工作。不幸的是，許多用戶和組織沒有正確配置他們的資源和云環境，導致惡意攻擊者發現并利用此錯誤配置，發起攻擊行為。

DataCamp是一個國外的在線學習平臺，DataCamp projects 使用了Jupyter Notebook，Jupyter 是一個開源 Web 應用程序，其在 Github 上的 star 為13.6k，是一個允許用戶創建和共享文本的文檔。

Profero 的 Omri Segev Moyal 表示，惡意攻擊者可以濫用在線編程學習平臺來發起遠程網絡攻擊、竊取數據并掃描易受攻擊的設備。DataCamp 允許攻擊者編譯惡意工具、托管或分發惡意軟件，并連接到外部服務。

在 DataCamp 平臺的個人工作區，有一個用于練習和執行自定義代碼、上傳文件和連接到數據庫的 IDE。

此 IDE 允許用戶導入 Python/ target=_blank class=infotextkey>Python 庫、下載和編譯存儲庫，然后執行編譯的程序。換句話說，任何一個威脅參與者都可能直接從 DataCamp 平臺內發起遠程攻擊。

（DataCamp Python 編譯器中的端口掃描器）

如何通過在線IDE發起攻擊

1、代碼

在 Datacamp 網站上的使用示例之一，是演示如何連接到 PostgreSQL 服務器。

那換個角度想，既然可以連接到外部 PostgreSQL 服務器，其他服務器是否可行？云服務或者 Amazon S3 bucket 又會是什么結果？

在對攻擊者可能使用 DataCamp 的資源來達到隱藏攻擊來源的事件做出響應后， Profero 公司的研究人員決定調查這種情況。

他們發現 DataCamp 的高級在線 Python IDE 為用戶提供了安裝第三方模塊的能力，這些模塊允許連接到 Amazon S3 bucket。Omri Segev Moyal 表示，他們在 DataCamp 平臺上嘗試了上述場景，能夠訪問 S3 bucket并將所有文件泄露到平臺網站上的工作區環境中。

要訪問 AWS 資源，首先安裝 boto3 模塊：

下一步是連接到 S3 bucket，羅列并下載其中的所有文件：

從攻防中的防御方來看，文件下載的 CloudTrail 日志如下：

文件上傳日志如下：

通過兩個日志可以看出，useragent 為：

這允許使用 boto 框架從 python 腳本中快速識別響應，

另外，查看日志中的 ip 地址時，發現流量顯示來自 Amazon

由于 DataCamp 使用 AWS 的服務器，來自 DataCamp 的活動很可能會成功執行，而藍隊無法檢測到此類的活動。即使是那些進一步檢查連接的人也會陷入死胡同，因為沒有已知的確定來源。

以上是可以執行攻擊的基本示例，在使用 Github API、Azure API 和任何在線資源等其他場景時都可能受到此方法的影響。

2、工具

為了對攻擊場景的研究更進一步，研究人員試圖導入或安裝通常用于網絡攻擊的工具，例如 Nmap 網絡映射工具。DataCamp 平臺無法直接安裝 Nmap，但 DataCamp 允許編譯它并從編譯目錄執行二進制文件，如圖：

Profero 的事件響應團隊還測試了他們是否可以使用終端上傳文件并獲取共享文件的鏈接。他們能夠上傳 EICAR——用于測試防病毒解決方案檢測的標準文件，并可以分享它的鏈接。

（EICAR 文件上傳到 DataCamp）

下載鏈接可用于通過簡單的 Web 請求將其他惡意軟件下載到受感染的系統。

此外，這些下載鏈接可能會在其他類型的攻擊中被濫用，例如托管惡意軟件以進行網絡釣魚攻擊，或通過惡意軟件下載其他有效負載。

盡管 Profero 沒有將他們的研究擴展到其他學習平臺，但研究人員認為，DataCamp 并不是黑客可以濫用的唯一平臺。

參考鏈接

https://medium.com/proferosec-osm/online-programming-learning-sites-can-be-manipulated-by-hackers-to-launch-cyberattacks-a684d9f4daef

https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/