云存储平台服务安全盘点报告

　　本报告展示了一种新型的攻击，我们称之为“Man in the cloud（MITC）”。MITC攻击将常见的文件同步服务（如GoogleDrive、Dropbox）作为它的C&C、数据泄露和远程访问基础设施。不用使用任何的exp，只需简单的重构下这些服务就可将它们转化成一个灾难性的攻击工具，并且还不容易被常见的安全检测方法检测到。

　　感染阶段中，MITC不需要使用任何的恶意代码或者exp，所以很难检测到，也很容易被感染。另外借助于同步协议，要想从正常的流量中区分出恶意流量几乎是不可能的事情。即使有人察觉到，也很难找出感染的证据来，因为终端处几乎没有留下一点痕迹。在MITC攻击中，攻击者无需入侵受害者的用户名和密码就可访问受害者账户。

　　2. 背景

　　近几年中，入侵事件和数据泄露事件频发。摩根大通银行泄露7600W数据，近1/4的美国家庭受到影响；索尼影视事件中，员工数据和商业电影信息泄露，损失数亿；间谍软件公司hacking team被黑客攻击，400GB数据泄露。被窃取的信用卡信息、个人敏感数据等已被黑客放在地下市场上进行交易。

　　随着移动设备、平板电脑、VPNs、远程桌面、SaaS应用程序的使用，越来越多的用户选择将数据存储在云端，也就是说将数据存储在一个没有边界的区域内。然而对于这样一个没有边界的区域，怎样保护数据安全呢？

　　文件同步服务是指用户只要登录同一个账号，就可以在不同的设备之间共享信息，如果在一个设备上修改信息，其他设备上同样能看到修改后的信息。目前比较流行的同步服务有GoogleDrive、Dropbox、OneDrive、Box。

　　3. 动机

　　企业一直在强调终端安全，并会找出一些解决方法。老的方法是基于一些模式核对文件中是否含有恶意代码，新方法是在一个受控的环境中打开文件，然后检测文件中是否含有恶意代码，或者监视终端是否有一些恶意的行为。还有一些解决方案是试图通过白名单或者异常检测识别出C&C通信。然而对于上述的解决方法，攻击者似乎已经找出了应对方案。

　　我们迅速将目标放到了文件同步服务上，因为文件同步服务已被越来越多的企业使用，而且它含有一个开放的网络通信通道。另外，当用户从本地设备传输文件到网上时，黑客可以从中窃取文件；当用户从网上将文件下载到本地时，黑客可以借机远程访问用户数据。除了尝试入侵受害者的文件同步账户，还可以用攻击者账户同步受害者终端。

　　4.Man in the cloud（MITC）攻击

　　4.1 短暂的double switch

　　Man in the cloud攻击非常简单，攻击者可以分享受害者的文件同步账户。随之攻击者便可以访问受害者同步的文件，并在其中注入恶意代码，其中要使用的工具为Switcher。攻击流程如下图：

　　1.攻击者诱骗受害者或者使用exp执行Switcher工具。Switcher工具会在Drive APP上植入攻击者的同步token

　　2.当完成第一个开关时，Switcher会将初始同步token复制到同步文件夹中

　　3.Drive APP同步攻击者账户

　　4.攻击者拥有受害者的同步token

　　5.攻击者使用窃取的受害者同步token连接受害者的文件同步账户

　　6.Switcher工具第二次在受害者设备上运行，恢复受害者的初始同步token，最后基本能把Drive APP恢复到最原始的状态。

　　4.2 持久的double switch

　　和前面的攻击相似，除了可以远程访问受害者设备外，攻击者还可以时时与受害者设备进行交互，执行任意代码、搜集代码的输出等。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!