Imperva展示可怕云端中间人攻击手法:你的云端硬碟其实是骇客的
资安公司Imperva在黑帽骇客大会上展示云端中间人打击伎俩,让骇客不用破解密码、不用打击程式,也不用撰写伺服器真个程式码,即可存取用户Google Drive、Box、微软及Dropbox上的档案,达成盗取资料或进行其他打击的目标。
Imperva在其报告中细致解释,「云端中间人」(man-in-the-cloud, MIIC)打击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在安装上的同步化权杖(synchronization token)完成使用者身份验证,使本机同步资料匣(sync folder)中的档案变动或新增可同步到同一使用者的云端服务上,反之亦然。
在实行中,研究人员设计了名为「切换器」(Switcher)的东西,只要透过网钓或挂马打击植入使用者电脑,获得安装上的同步权杖,就可以冒充是云端服务帐号持有人。然后,经过用步化机制,即可将用户电脑的档案传到打击者设立的云端服务帐号,云云一来,不必破解密码,也能获得用户云端档案。
打击者也可在云端资料匣中植入木马或勒赎软体,将云端平台看成C&C平台进行其他打击。打击者乃至能在档案中嵌入歹意程式码,等完成任务后,再把原本干净的档案回复到用户电脑,不留痕迹。更糟的是,由于权杖和安装(而非使用者帐密)绑在一起的,因此,受害者纵然修改帐号密码也防堵不了打击者。
Imperva设计的东西只修改了用户电脑的特定档案或登录机码(registry key),因此很难被侦测到。而且事后骇客也可以将Switcher从使用者终端移除,神不知鬼不觉。
研究人员指出,企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及,但同步服务设计反而使其变成骇客抱负的打击平台,只要开个帐号,连C&C伺服器都不必架。在企业和个人使用云端服务成为常态的今天,有必要更注意云真个安全。
云端服务成为骇客打击管道显然不再只是理论而已。七月底FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,暗中盗取用户资料。五月时中国骇客构造也被发现利用微软TechNet网站隐藏远端控制受害电脑的C&C通讯,以盗取资料或修改、删除档案。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|