可怕云端中间人攻击手法:你的云端硬碟其实是骇客的!

安全 黑客攻防 云安全
资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法,让骇客不用破解密码、不用攻击程式,也不用撰写伺服器端的程式码,即可存取用户Google Drive、Box、微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的。

资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法,让骇客不用破解密码、不用攻击程式,也不用撰写伺服器端的程式码,即可存取用户Google Drive、Box、微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的。

[[146584]]

Imperva在其报告中详细解释,「云端中间人」(man-in-the-cloud, MIIC)攻击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证,使本机同步资料匣(sync folder)中的档案变更或新增可同步到同一使用者的云端服务上,反之亦然。

在实验中,研究人员设计了名为「切换器」(Switcher)的工具,只要透过网钓或挂马攻击植入使用者电脑,取得装置上的同步权杖,就可以冒充是云端服务帐号持有人。然后,经由用步化机制,即可将用户电脑的档案传到攻击者设立的云端服务帐号,如此一来,不必破解密码,也能取得用户云端档案。

攻击者也可在云端资料匣中植入木马或勒赎软体,将云端平台当作C&C平台进行其他攻击。攻击者甚至能在档案中嵌入恶意程式码,等完成任务后,再把原本干净的档案回复到用户电脑,不留痕迹。更糟的是,由于权杖和装置(而非使用者帐密)绑在一起的,因此,受害者即使修改帐号密码也防堵不了攻击者。

Imperva设计的工具只修改了用户电脑的特定档案或登录机码(registry key),因此很难被侦测到。而且事后骇客也可以将Switcher从使用者终端移除,神不知鬼不觉。

研究人员指出,企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及,但同步服务设计反而使其变成骇客理想的攻击平台,只要开个帐号,连C&C伺服器都不必架。在企业和个人使用云端服务成为常态的今天,有必要更注意云端的安全。

云端服务成为骇客攻击管道显然不再只是理论而已。七月底FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,暗中窃取用户资料。五月时中国骇客组织也被发现利用微软TechNet网站隐藏远端控制受害电脑的C&C通讯,以窃取资料或修改、删除档案。

责任编辑:蓝雨泪 来源: 黑基网
相关推荐

2015-05-08 10:52:39

2009-03-13 11:34:56

2013-11-11 10:36:04

2014-03-20 10:26:58

2019-11-04 05:10:15

Wi-Fi网络网速

2015-05-20 14:01:27

程序程序会做饭

2019-01-28 08:59:59

2020-05-07 15:24:22

中间人攻击MITM

2017-02-16 08:53:42

2014-03-17 09:16:08

2013-08-08 10:52:38

App平台化超级App开放平台

2020-12-30 09:00:00

安全工具攻击

2019-05-28 16:25:34

MySQL删除操作数据库

2012-11-20 13:06:57

2013-03-15 13:33:06

2016-08-22 13:22:11

混合云云计算

2014-05-15 10:20:07

2015-12-29 10:41:16

2015-01-05 13:29:37

2013-03-21 17:02:14

点赞
收藏

51CTO技术栈公众号