文件同步服務(wù)過(guò)去常常支持企業(yè)組織內(nèi)部的移動(dòng)員工,它也可能成為一個(gè)薄弱環(huán)節(jié),攻擊者可以鉆其空子,潛伏在中招的網(wǎng)絡(luò)里面而不被察覺(jué)。
安全公司Imperva的研究人員發(fā)現(xiàn),如果攻擊者對(duì)文件同步服程序運(yùn)行在其中的計(jì)算機(jī)獲得了有限的訪問(wèn)權(quán),不用實(shí)際竊取用戶名稱和密碼,輕而易舉就能劫持Dropbox、Google Drive、微軟OneDrive和Box等提供的服務(wù)的用戶帳戶。
一旦帳戶被劫持,攻擊者就可以利用帳戶竊取存儲(chǔ)在里面的數(shù)據(jù),并且遠(yuǎn)程控制中招的計(jì)算機(jī),根本不用可能被反病毒或其他安全產(chǎn)品檢測(cè)出來(lái)的任何惡意軟件程序。
Imperva的研究人員發(fā)現(xiàn),他們打量的所有文件同步應(yīng)用程序都通過(guò)用戶首次登錄后生成的訪問(wèn)令牌,提供了繼續(xù)訪問(wèn)用戶的云存儲(chǔ)帳戶這一便利。這些令牌存儲(chǔ)在用戶計(jì)算機(jī)上的特殊文件、Windows注冊(cè)表或Windows憑據(jù)管理器中,這取決于具體使用的應(yīng)用程序。
研究人員研發(fā)了一款名為Switcher的簡(jiǎn)單工具,其作用就是執(zhí)行研究人員所說(shuō)的“雙開(kāi)關(guān)”(double switch)攻擊。
Switcher可以通過(guò)惡意電子郵件附件或充分利用瀏覽器插件中安全漏洞的路過(guò)式下載漏洞,部署在系統(tǒng)上。如果鉆了這個(gè)漏洞的空子,程序甚至沒(méi)必要寫入到磁盤上。它可以直接裝入到計(jì)算機(jī)的內(nèi)存中,不需要高級(jí)權(quán)限就能執(zhí)行其例程。
Switcher先為目標(biāo)文件同步應(yīng)用程序復(fù)制一份用戶的訪問(wèn)令牌,然后換成對(duì)應(yīng)于攻擊者控制的帳戶的訪問(wèn)令牌。然后,它重啟應(yīng)用程序,那樣它就能與攻擊者的帳戶實(shí)現(xiàn)同步。
之前保存的用戶令牌被復(fù)制到同步文件夾,那樣攻擊者就能收到一份用戶令牌,隨后Switcher應(yīng)用程序恢復(fù)回來(lái),迫使應(yīng)用程序回過(guò)頭來(lái)與用戶的實(shí)際帳戶關(guān)聯(lián)起來(lái),雙開(kāi)關(guān)一名由此而來(lái)。
然而,由于攻擊者現(xiàn)在有了一份用戶的訪問(wèn)令牌,他就能在自己的計(jì)算機(jī)上使用Switcher,并與用戶的實(shí)際帳戶進(jìn)行同步,獲得一份存儲(chǔ)在帳戶里面的所有文件。
如果讓Switcher創(chuàng)建一項(xiàng)計(jì)劃任務(wù)或者Windows管理規(guī)范(WMI)事件:某個(gè)特定的文件出現(xiàn)在同步文件夾中時(shí),就會(huì)觸發(fā)事件,可以讓攻擊進(jìn)入到下一步。攻擊者就可以創(chuàng)建該文件,含有由計(jì)劃任務(wù)執(zhí)行的命令。
即便Switcher刪除自己或者從內(nèi)存中清除出去,這種機(jī)制也將讓攻擊者獲得對(duì)計(jì)算機(jī)的永久性遠(yuǎn)程訪問(wèn)權(quán)。執(zhí)行命令、將輸出保存到同步文件夾后,攻擊者就能刪除它,還能刪除觸發(fā)文件,以圖掩蓋行蹤。
如果攻擊者尋求的不是偷偷潛伏或獲得永久性訪問(wèn)權(quán),另一種可能的攻擊場(chǎng)景就是加密用戶帳戶中的所有文件,索要贖金才能解密文件——近些年來(lái),勒索軟件程序采用了這一手法,屢試不爽。
據(jù)Imperva的首席技術(shù)官Amichai Shulman聲稱,針對(duì)文件同步服務(wù)的這些攻擊很難被反病毒程序檢測(cè)出來(lái),因?yàn)镾witcher并不執(zhí)行任何可能被解讀為惡意軟件行為的不尋?;顒?dòng)。
他表示,該程序只由短短10行代碼組成,可以讀取和寫入其他應(yīng)用程序也修改的文件和注冊(cè)表鍵。他補(bǔ)充道,落在后面的WMI任務(wù)也很常見(jiàn),因?yàn)榱硗庠S多應(yīng)用程序會(huì)因各種原因創(chuàng)建WMI任務(wù)。
此外,Switcher甚至可能不存儲(chǔ)在磁盤上,為攻擊創(chuàng)造條件后會(huì)刪除自己。
在網(wǎng)絡(luò)邊界處運(yùn)行的安全產(chǎn)品無(wú)法阻止這種流量,因?yàn)樵摿髁吭谀J(rèn)情況下已加密,由企業(yè)組織批準(zhǔn)的已知的、合法的文件同步應(yīng)用程序所生成。
眼下,接受測(cè)試的服務(wù)沒(méi)有一個(gè)通知用戶其帳戶從新的位置加以訪問(wèn),就像一些網(wǎng)站所做的那樣。據(jù)Imperva的研究人員聲稱,其中一些服務(wù)允許用戶查看其帳戶的近期活動(dòng),這有可能揭露來(lái)自非同尋常的位置或IP填的未授權(quán)訪問(wèn),但是出現(xiàn)這種情況時(shí),它們并不實(shí)際通過(guò)電子郵件來(lái)提醒用戶。
即便可以檢測(cè)出這種威脅,恢復(fù)正常也問(wèn)題重重,因?yàn)樵谝恍┣闆r下,訪問(wèn)令牌依然有效,即便用戶更改了密碼。研究人員在將于黑帽安全大會(huì)上發(fā)布的一份報(bào)告中表示,在這種情形下想恢復(fù)如初,唯一的辦法就是,實(shí)際刪除帳戶,創(chuàng)建一個(gè)新帳戶。
攻擊者已經(jīng)表示出有興趣濫用備受信賴的云服務(wù)或社交媒體網(wǎng)站,既為了向外泄露數(shù)據(jù),又為了奪取指揮與控制權(quán)。去年12月,Blue Coat的安全研究人員報(bào)告,軍隊(duì)、外交和商界等部門遭到了一起攻擊活動(dòng),它利用瑞典的一項(xiàng)文件同步服務(wù)(名為CloudMe)來(lái)奪取指揮與控制權(quán)。安全公司FireEye最近報(bào)告,一個(gè)名叫Hammertoss的俄羅斯網(wǎng)絡(luò)間諜團(tuán)伙利用云存儲(chǔ)服務(wù),向外泄露眾多機(jī)構(gòu)組織的數(shù)據(jù)。
在近日于拉斯維加斯召開(kāi)的BSides安全大會(huì)上,Gabriel Butterick、Dakota Nelson和Byron Wasti這三名軟件開(kāi)發(fā)人員發(fā)布了一種框架,利用發(fā)布在推特、SoundCloud和Tumblr等社交媒體網(wǎng)站上的圖片、音頻片段和文本消息,就能為惡意軟件建立一條經(jīng)過(guò)加密的秘密通信通道。
Shulman表示,也許一些云存儲(chǔ)提供商會(huì)在將來(lái)改進(jìn)安全,但是這改變不了基本問(wèn)題:對(duì)用戶來(lái)說(shuō)有用的任何服務(wù)對(duì)攻擊者來(lái)說(shuō)同樣有用。攻擊者最終會(huì)找到辦法來(lái)攻破端點(diǎn)系統(tǒng),但是大多數(shù)時(shí)候,他們的目標(biāo)是利用它們作為跳板,進(jìn)而攻擊機(jī)構(gòu)組織的數(shù)據(jù)庫(kù)和文件服務(wù)器,而這些系統(tǒng)上存儲(chǔ)著令人關(guān)注的信息。他表示,正由于如此,公司監(jiān)控、嚴(yán)格控制對(duì)重要數(shù)據(jù)的訪問(wèn)顯得至關(guān)重要。
英文:File sync services provide covert way to control hacked computers