当前位置:安全行业动态 → 正文

可怕云端中间人攻击手法:云端硬碟其实是骇客的!

责任编辑:editor007 |来源:企业网D1Net  2015-08-26 17:11:02 本文摘自:51CTO

资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法,让骇客不用破解密码、不用攻击程式,也不用撰写伺服器端的程式码,即可存取用户GoogleDrive、Box、微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的。

Imperva展示可怕云端中间人攻击手法:你的云端硬碟其实是骇客的!

Imperva在其报告中详细解释,「云端中间人」(man-in-the-cloud, MIIC)攻击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证,使本机同步资料匣(sync folder)中的档案变更或新增可同步到同一使用者的云端服务上,反之亦然。

在实验中,研究人员设计了名为「切换器」(Switcher)的工具,只要透过网钓或挂马攻击植入使用者电脑,取得装置上的同步权杖,就可以冒充是云端服务帐号持有人。然后,经由用步化机制,即可将用户电脑的档案传到攻击者设立的云端服务帐号,如此一来,不必破解密码,也能取得用户云端档案。

攻击者也可在云端资料匣中植入木马或勒赎软体,将云端平台当作C&C平台进行其他攻击。攻击者甚至能在档案中嵌入恶意程式码,等完成任务后,再把原本干净的档案回复到用户电脑,不留痕迹。更糟的是,由于权杖和装置(而非使用者帐密)绑在一起的,因此,受害者即使修改帐号密码也防堵不了攻击者。

Imperva设计的工具只修改了用户电脑的特定档案或登录机码(registry key),因此很难被侦测到。而且事后骇客也可以将Switcher从使用者终端移除,神不知鬼不觉。

研究人员指出,企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及,但同步服务设计反而使其变成骇客理想的攻击平台,只要开个帐号,连C&C伺服器都不必架。在企业和个人使用云端服务成为常态的今天,有必要更注意云端的安全。

云端服务成为骇客攻击管道显然不再只是理论而已。七月底FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,暗中窃取用户资料。五月时中国骇客组织也被发现利用微软TechNet网站隐藏远端控制受害电脑的C&C通讯,以窃取资料或修改、删除档案。

关键字:云端 骇客 Switcher

本文摘自:51CTO

可怕云端中间人攻击手法:云端硬碟其实是骇客的! 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2020 京ICP备09108050号-6

^