SCM攻击模拟工具：黑客的新武器

关键要点

• IBM的X-Force Red发布了一款新的源代码管理（SCM）攻击模拟工具包。
• 工具揭示了利用SCM原生功能进行攻击的新方式。
• 该工具将于本周在Black Hat大会上展示。
• 大众常用的SCM工具如GitHub、GitLab和Bitbucket可能成为攻击的起点。

源代码管理（SCM）工具如不仅仅是知识产权的存放地，它们也是将代码批量安装到所有可到达系统的手段。爆发历史上最严重的攻击事件，比如和，均源于在更新中插入的恶意代码，这些代码随后被上传至客户端。粗心的SCM用户有时会在代码中留下API密钥和密码，使得黑客能够获得其他系统的访问权限；进一步的话，SCM可能与其他DevOps服务器相连接，成为攻击的跳板。

“目前，没有任何关于攻击和防御这些系统的研究，”Hawkins告诉SC Media。

目前，大部分对SCM的攻击都是由恶意活动者发起，他们寻找感兴趣的暴露文件、代码库和内容。但Hawkins开发了一些更复杂的攻击，旨在实现权限提升、隐蔽性和持久性，以用于渗透测试。

这可能意味着利用管理员权限创建或复制用于访问SCM的令牌。Alternatively，在GitHub上，这可能仅需要单击一个按钮就能冒充用户。

Hawkins将他的研究和侦查工具整合进了周二发布的SCMKit工具包。

“目前市场上没有类似SCM-Kit的工具。它允许你进行多种攻击场景，包括侦查、权限提升和持久化，针对GitHub Enterprise、GitLabEnterprise和Bitbucket，”Hawkins表示。“我希望能从信息安全社区收集到一些良好的反馈。”