資安公司Imperva在黑帽駭客大會上展示云端中間人攻擊手法,讓駭客不用破解密碼、不用攻擊程式,也不用撰寫伺服器端的程式碼,即可存取用戶GoogleDrive、Box、微軟及Dropbox上的檔案,達成竊取資料或進行其他攻擊的目的。
Imperva在其報告中詳細解釋,「云端中間人」(man-in-the-cloud, MIIC)攻擊是利用云端儲存服務的檔案同步化機制。檔案同步化的原理是利用同步化軟體與儲存在裝置上的同步化權(quán)杖(synchronization token)完成使用者身份驗證,使本機同步資料匣(sync folder)中的檔案變更或新增可同步到同一使用者的云端服務上,反之亦然。
在實驗中,研究人員設(shè)計了名為「切換器」(Switcher)的工具,只要透過網(wǎng)釣或掛馬攻擊植入使用者電腦,取得裝置上的同步權(quán)杖,就可以冒充是云端服務帳號持有人。然后,經(jīng)由用步化機制,即可將用戶電腦的檔案傳到攻擊者設(shè)立的云端服務帳號,如此一來,不必破解密碼,也能取得用戶云端檔案。
攻擊者也可在云端資料匣中植入木馬或勒贖軟體,將云端平臺當作C&C平臺進行其他攻擊。攻擊者甚至能在檔案中嵌入惡意程式碼,等完成任務后,再把原本干凈的檔案回復到用戶電腦,不留痕跡。更糟的是,由于權(quán)杖和裝置(而非使用者帳密)綁在一起的,因此,受害者即使修改帳號密碼也防堵不了攻擊者。
Imperva設(shè)計的工具只修改了用戶電腦的特定檔案或登錄機碼(registry key),因此很難被偵測到。而且事后駭客也可以將Switcher從使用者終端移除,神不知鬼不覺。
研究人員指出,企業(yè)與個人利用Google Drive、Dropbox等云端服務進行檔案同步愈來愈普及,但同步服務設(shè)計反而使其變成駭客理想的攻擊平臺,只要開個帳號,連C&C伺服器都不必架。在企業(yè)和個人使用云端服務成為常態(tài)的今天,有必要更注意云端的安全。
云端服務成為駭客攻擊管道顯然不再只是理論而已。七月底FireEye發(fā)現(xiàn)一只名為Hammertoss的后門程式,可利用Twitter和GitHub等合法網(wǎng)站作為掩護,以躲避偵測,暗中竊取用戶資料。五月時中國駭客組織也被發(fā)現(xiàn)利用微軟TechNet網(wǎng)站隱藏遠端控制受害電腦的C&C通訊,以竊取資料或修改、刪除檔案。
京公網(wǎng)安備 11010502049343號