IBM揭示了在攻击中使用原生源代码管理功能的方法
SCM攻击模拟工具:黑客的新武器
关键要点
IBM的XForce Red发布了一款新的源代码管理SCM攻击模拟工具包。工具揭示了利用SCM原生功能进行攻击的新方式。该工具将于本周在Black Hat大会上展示。大众常用的SCM工具如GitHub、GitLab和Bitbucket可能成为攻击的起点。源代码管理SCM工具如GitHub不仅仅是知识产权的存放地,它们也是将代码批量安装到所有可到达系统的手段。爆发历史上最严重的攻击事件,比如NotPetya和Solarwinds,均源于在更新中插入的恶意代码,这些代码随后被上传至客户端。粗心的SCM用户有时会在代码中留下API密钥和密码,使得黑客能够获得其他系统的访问权限;进一步的话,SCM可能与其他DevOps服务器相连接,成为攻击的跳板。
点击此处查看有关拉斯维加斯黑帽大会的更多报道。
vNP加速器“目前,没有任何关于攻击和防御这些系统的研究,”Hawkins告诉SC Media。
目前,大部分对SCM的攻击都是由恶意活动者发起,他们寻找感兴趣的暴露文件、代码库和内容。但Hawkins开发了一些更复杂的攻击,旨在实现权限提升、隐蔽性和持久性,以用于渗透测试。
这可能意味着利用管理员权限创建或复制用于访问SCM的令牌。Alternatively,在GitHub上,这可能仅需要单击一个按钮就能冒充用户。
Hawkins将他的研究和侦查工具整合进了周二发布的SCMKit工具包。
“目前市场上没有类似SCMKit的工具。它允许你进行多种攻击场景,包括侦查、权限提升和持久化,针对GitHub Enterprise、GitLab Enterprise和Bitbucket,”Hawkins表示。“我希望能从信息安全社区收集到一些良好的反馈。”
