资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法,让骇客不用破解密码、不用攻击程式,也不用撰写伺服器端的程式码,即可存取用户Google Drive、Box、微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的。
Imperva在其报告中详细解释,「云端中间人」(man-in-the-cloud, MIIC)攻击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证,使本机同步资料匣(sync folder)中的档案变更或新增可同步到同一使用者的云端服务上,反之亦然。
在实验中,研究人员设计了名为「切换器」(Switcher)的工具,只要透过网钓或挂马攻击植入使用者电脑,取得装置上的同步权杖,就可以冒充是云端服务帐号持有人。然后,经由用步化机制,即可将用户电脑的档案传到攻击者设立的云端服务帐号,如此一来,不必破解密码,也能取得用户云端档案。
攻击者也可在云端资料匣中植入木马或勒赎软体,将云端平台当作C&C平台进行其他攻击。攻击者甚至能在档案中嵌入恶意程式码,等完成任务后,再把原本干净的档案回复到用户电脑,不留痕迹。更糟的是,由于权杖和装置(而非使用者帐密)绑在一起的,因此,受害者即使修改帐号密码也防堵不了攻击者。
Imperva设计的工具只修改了用户电脑的特定档案或登录机码(registry key),因此很难被侦测到。而且事后骇客也可以将Switcher从使用者终端移除,神不知鬼不觉。
研究人员指出,企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及,但同步服务设计反而使其变成骇客理想的攻击平台,只要开个帐号,连C&C伺服器都不必架。在企业和个人使用云端服务成为常态的今天,有必要更注意云端的安全。
云端服务成为骇客攻击管道显然不再只是理论而已。七月底FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,暗中窃取用户资料。五月时中国骇客组织也被发现利用微软TechNet网站隐藏远端控制受害电脑的C&C通讯,以窃取资料或修改、删除档案。
作者:佚名
来源:51CTO
