據(jù)Cyber Security News消息，微軟VSCode 遠(yuǎn)程隧道功能正被攻擊者利用，以繞過(guò)安全措施部署惡意腳本。

VSCode 遠(yuǎn)程隧道是流行開(kāi)發(fā)環(huán)境中的一項(xiàng)功能，讓開(kāi)發(fā)者通過(guò)安全隧道連接到遠(yuǎn)程計(jì)算機(jī)的本地編碼環(huán)境，從而提高開(kāi)發(fā)參與度和靈活性。

根據(jù) On the Hunt 的博客文章，攻擊者可在用戶不知情的情況下安裝安裝 VSCode CLI 并創(chuàng)建遠(yuǎn)程隧道的文件或腳本，進(jìn)而非法訪問(wèn)開(kāi)發(fā)人員設(shè)備，竊取機(jī)密數(shù)據(jù)、部署惡意軟件并通過(guò)網(wǎng)絡(luò)橫向移動(dòng)。

最初發(fā)送的惡意 LNK 文件包含一個(gè) PowerShell 命令，允許用戶從遠(yuǎn)程 IP 地址下載并執(zhí)行 Python 腳本。 VSCode CLI 二進(jìn)制文件 code-insiders.exe 由 Python 腳本下載并執(zhí)行。 Python 腳本使用 Github 上的 CLI 二進(jìn)制文件生成并驗(yàn)證 VSCode 隧道。

攻擊鏈

為 VSCode 創(chuàng)建一個(gè)遠(yuǎn)程隧道，攻擊者利用通過(guò)網(wǎng)絡(luò)瀏覽器創(chuàng)建的隧道在 Python 有效載荷上執(zhí)行命令。

Python 腳本設(shè)置隧道

在不使用攻擊者GitHub 帳戶的情況下向 VSCode 進(jìn)行身份驗(yàn)證，需按下 connect to tunnel 按鈕。

連接到隧道

一旦驗(yàn)證了賬戶，就可以看到有活動(dòng)隧道的遠(yuǎn)程主機(jī)列表。 選擇在線受害者主機(jī)將連接到該主機(jī)上運(yùn)行的 VSCode 遠(yuǎn)程隧道。這使得遍歷受害者遠(yuǎn)程計(jì)算機(jī)上的目錄成為可能。此外，還可以創(chuàng)建新文件或腳本并遠(yuǎn)程運(yùn)行。

因此，企業(yè)最好限制自己的員工或客戶訪問(wèn)遠(yuǎn)程隧道，否則應(yīng)禁止在園區(qū)內(nèi)使用隧道，或采取措施防止隧道被濫用。