資安公司Imperva在黑帽駭客大會上展示雲端中間人攻擊手法,讓駭客不用破解密碼、不用攻擊程式,也不用撰寫伺服器端的程式碼,即可存取用戶Google Drive、Box、微軟及Dropbox上的檔案,達成竊取資料或進行其他攻擊的目的。
Imperva在其報告中詳細解釋,「雲端中間人」(man-in-the-cloud, MIIC)攻擊是利用雲端儲存服務的檔案同步化機制。檔案同步化的原理是利用同步化軟體與儲存在裝置上的同步化權杖(synchronization token)完成使用者身份驗證,使本機同步資料匣(sync folder)中的檔案變更或新增可同步到同一使用者的雲端服務上,反之亦然。
在實驗中,研究人員設計了名為「切換器」(Switcher)的工具,只要透過網釣或掛馬攻擊植入使用者電腦,取得裝置上的同步權杖,就可以冒充是雲端服務帳號持有人。然後,經由用步化機制,即可將用戶電腦的檔案傳到攻擊者設立的雲端服務帳號,如此一來,不必破解密碼,也能取得用戶雲端檔案。
攻擊者也可在雲端資料匣中植入木馬或勒贖軟體,將雲端平台當作C&C平台進行其他攻擊。攻擊者甚至能在檔案中嵌入惡意程式碼,等完成任務後,再把原本乾淨的檔案回復到用戶電腦,不留痕跡。更糟的是,由於權杖和裝置(而非使用者帳密)綁在一起的,因此,受害者即使修改帳號密碼也防堵不了攻擊者。
Imperva設計的工具只修改了用戶電腦的特定檔案或登錄機碼(registry key),因此很難被偵測到。而且事後駭客也可以將Switcher從使用者終端移除,神不知鬼不覺。
研究人員指出,企業與個人利用Google Drive、Dropbox等雲端服務進行檔案同步愈來愈普及,但同步服務設計反而使其變成駭客理想的攻擊平台,只要開個帳號,連C&C伺服器都不必架。在企業和個人使用雲端服務成為常態的今天,有必要更注意雲端的安全。
雲端服務成為駭客攻擊管道顯然不再只是理論而已。七月底FireEye發現一隻名為Hammertoss的後門程式,可利用Twitter和GitHub等合法網站作為掩護,以躲避偵測,暗中竊取用戶資料。五月時中國駭客組織也被發現利用微軟TechNet網站隱藏遠端控制受害電腦的C&C通訊,以竊取資料或修改、刪除檔案。(編譯/林妍溱)