黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

admin 2025年1月20日22:48:46评论9 views字数 834阅读2分46秒阅读模式

黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

关键词

网络攻击

黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

VSCode 远程隧道是流行开发环境的一个合法功能,但越来越多地被恶意行为者所利用。

此功能允许开发人员远程访问其本地编码环境,从而提高参与度和灵活性。

利用此功能,恶意行为者可以安装文件或脚本来安装 VSCode CLI 并在用户不知情的情况下创建远程隧道。

这使得攻击者可以非法访问开发人员的设备,从而窃取机密数据、部署恶意软件并通过网络横向移动。

VSCode 隧道如何被威胁行为者滥用?

根据 On the Hunt 的博客文章,最初传送的恶意 LNK 文件包含一个 PowerShell 命令,允许用户从远程 IP 地址下载并执行 Python 脚本。

VSCode CLI 二进制文件 code-insiders.exe 由 Python 脚本下载并执行。Python 脚本使用 CLI 二进制文件针对 Github 生成并验证VSCode 隧道。 

黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

攻击链

创建了 VSCode 的远程隧道,威胁行为者使用通过 Web 浏览器创建的隧道在 Python 有效负载上执行命令。

黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

Python 脚本设置隧道

为了在不使用攻击者的 GitHub 帐户的情况下对 VSCode 进行身份验证,请按下“连接到隧道”按钮。

黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

正在连接到隧道

一旦通过账户验证,就可以看到具有活动隧道的远程主机列表。选择在线的受害者主机将连接到该主机上运行的 VSCode 远程隧道。

这使得遍历受害者远程计算机上的目录成为可能。此外,还可以创建新文件或脚本并远程运行它们。

建议组织将远程隧道的访问权限限制在自己的租户范围内。如果不可行,应禁止在庄园内使用隧道,或采取措施防止其滥用。 

因此,公司可以采取主动措施来对抗这一新威胁,从而保护其敏感数据并保护其开发环境的完整性。

来源:

https://cybersecuritynews.com/hackers-abusing-microsoft-vscode-remote-tunnels/#google_vignette

  END  

原文始发于微信公众号(安全圈):【安全圈】黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月20日22:48:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客滥用 Microsoft VSCode 远程隧道绕过安全工具https://cn-sec.com/archives/3652258.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息