新的攻击载体： 配置错误的 Jupyter 服务器成为非法流媒体的目标

Aqua Nautilus 安全研究人员发现了一种新的攻击载体，威胁者利用配置错误的服务器，特别是 JupyterLab 和 Jupyter Notebook 环境，劫持计算资源进行非法体育直播。这种攻击以易受攻击的开发环境为目标，捕获直播并将其重定向到未经授权的平台上，从而牟利。

攻击者利用配置错误的 Jupyter 服务器（通常未经身份验证就暴露在互联网上）获得未经授权的访问权限。报告称 “威胁者利用对 Jupyter Lab 和 Jupyter Notebook 的未认证访问，建立初始访问并实现远程代码执行。”

攻击者随后部署了广泛使用的多媒体处理工具 ffmpeg，以捕获实时体育广播并将其重定向到非法流媒体平台。这种技术被称为 “流撕裂”（stream ripping），通过将活动掩盖为良性服务器操作来绕过检测。

体育直播流媒体盗版对娱乐业的威胁日益严重，影响到广播公司、体育联盟和球队。Aqua Nautilus 强调指出： “未经授权的转播已成为普遍现象，不仅影响到大型联赛，也影响到依赖付费观众的小型球队”。这给合法平台造成了巨大的收入损失和损害。

在这一具体案例中，攻击者以卡塔尔 beIN 体育网络为目标，捕获欧洲冠军联赛的转播，并将其重定向到外部平台（如 ustream.tv）。这些平台通过广告收入和付费订阅产生收入，威胁者利用这些收入非法获取经济利益。

JupyterLab 和 Jupyter Notebooks 是数据科学的流行工具，但容易配置错误，从而遭受攻击。主要漏洞包括：

1. 开放访问： 未经身份验证就连接到互联网的服务器。
2. 令牌管理不善： 暴露的令牌允许未经授权的访问。
3. 缺乏防火墙： 缺乏网络限制，导致环境不受保护

根据 Aqua Nautilus 的数据，约有 15,000 台 Jupyter 服务器暴露在互联网上，其中约 1%可远程执行代码。

研究人员利用他们的蜜罐网络以及 Aqua Tracee 和 Traceeshark 等工具分析了这次攻击。Traceeshark 能够详细检查 8000 多个事件，揭示可疑模式，如重复执行 ffmpeg 和不寻常的 IP 活动。“研究人员指出：”当观察到进程树中显示的大量 ffmpeg 执行命令时，情况就变得可疑了，尤其是所涉及的 IP 地址的不寻常模式。

Traceeshark 的进程树 | 图片： Aqua Nautilus

调查显示，攻击者从未经验证的来源下载了 ffmpeg，并将其配置为谨慎地捕获实时流。通过跟踪命令，Aqua Nautilus 确定 ustream.tv 是这些非法广播的最终目的地。

虽然此类攻击的直接危害似乎仅限于娱乐领域，但 Aqua Nautilus 警告说，它还会带来更广泛的风险： “攻击者进入了用于数据分析的服务器，这可能会对任何组织的运营造成严重后果。潜在的风险包括拒绝服务、数据篡改、数据窃取、人工智能和 ML 程序损坏、横向移动到更关键的环境，以及在最坏的情况下，造成巨大的财务和声誉损失。”

为了降低这些风险，Aqua Nautilus 建议：

1. 安全配置： 为 Jupyter 服务器使用强身份验证、受限 IP、HTTPS 和适当的令牌管理。
2. 定期更新： 确保更新所有服务器和工具，修补漏洞。
3. 网络监控： 部署 Aqua Tracee 等工具，实时检测异常活动