文件同步服務(wù)過去常常支持企業(yè)組織內(nèi)部的移動(dòng)員工，它也可能成為一個(gè)薄弱環(huán)節(jié)，攻擊者可以鉆其空子，潛伏在中招的網(wǎng)絡(luò)里面而不被察覺。

安全公司Imperva的研究人員發(fā)現(xiàn)，如果攻擊者對(duì)文件同步服程序運(yùn)行在其中的計(jì)算機(jī)獲得了有限的訪問權(quán)，不用實(shí)際竊取用戶名稱和密碼，輕而易舉就能劫持Dropbox、Google Drive、微軟OneDrive和Box等提供的服務(wù)的用戶帳戶。

一旦帳戶被劫持，攻擊者就可以利用帳戶竊取存儲(chǔ)在里面的數(shù)據(jù)，并且遠(yuǎn)程控制中招的計(jì)算機(jī)，根本不用可能被反病毒或其他安全產(chǎn)品檢測(cè)出來的任何惡意軟件程序。

Imperva的研究人員發(fā)現(xiàn)，他們打量的所有文件同步應(yīng)用程序都通過用戶首次登錄后生成的訪問令牌，提供了繼續(xù)訪問用戶的云存儲(chǔ)帳戶這一便利。這些令牌存儲(chǔ)在用戶計(jì)算機(jī)上的特殊文件、Windows注冊(cè)表或Windows憑據(jù)管理器中，這取決于具體使用的應(yīng)用程序。

研究人員研發(fā)了一款名為Switcher的簡(jiǎn)單工具，其作用就是執(zhí)行研究人員所說的“雙開關(guān)”(double switch)攻擊。

Switcher可以通過惡意電子郵件附件或充分利用瀏覽器插件中安全漏洞的路過式下載漏洞，部署在系統(tǒng)上。如果鉆了這個(gè)漏洞的空子，程序甚至沒必要寫入到磁盤上。它可以直接裝入到計(jì)算機(jī)的內(nèi)存中，不需要高級(jí)權(quán)限就能執(zhí)行其例程。

Switcher先為目標(biāo)文件同步應(yīng)用程序復(fù)制一份用戶的訪問令牌，然后換成對(duì)應(yīng)于攻擊者控制的帳戶的訪問令牌。然后，它重啟應(yīng)用程序，那樣它就能與攻擊者的帳戶實(shí)現(xiàn)同步。

之前保存的用戶令牌被復(fù)制到同步文件夾，那樣攻擊者就能收到一份用戶令牌，隨后Switcher應(yīng)用程序恢復(fù)回來，迫使應(yīng)用程序回過頭來與用戶的實(shí)際帳戶關(guān)聯(lián)起來，雙開關(guān)一名由此而來。

然而，由于攻擊者現(xiàn)在有了一份用戶的訪問令牌，他就能在自己的計(jì)算機(jī)上使用Switcher，并與用戶的實(shí)際帳戶進(jìn)行同步，獲得一份存儲(chǔ)在帳戶里面的所有文件。

如果讓Switcher創(chuàng)建一項(xiàng)計(jì)劃任務(wù)或者Windows管理規(guī)范(WMI)事件：某個(gè)特定的文件出現(xiàn)在同步文件夾中時(shí)，就會(huì)觸發(fā)事件，可以讓攻擊進(jìn)入到下一步。攻擊者就可以創(chuàng)建該文件，含有由計(jì)劃任務(wù)執(zhí)行的命令。

即便Switcher刪除自己或者從內(nèi)存中清除出去，這種機(jī)制也將讓攻擊者獲得對(duì)計(jì)算機(jī)的永久性遠(yuǎn)程訪問權(quán)。執(zhí)行命令、將輸出保存到同步文件夾后，攻擊者就能刪除它，還能刪除觸發(fā)文件，以圖掩蓋行蹤。

如果攻擊者尋求的不是偷偷潛伏或獲得永久性訪問權(quán)，另一種可能的攻擊場(chǎng)景就是加密用戶帳戶中的所有文件，索要贖金才能解密文件——近些年來，勒索軟件程序采用了這一手法，屢試不爽。

據(jù)Imperva的首席技術(shù)官Amichai Shulman聲稱，針對(duì)文件同步服務(wù)的這些攻擊很難被反病毒程序檢測(cè)出來，因?yàn)镾witcher并不執(zhí)行任何可能被解讀為惡意軟件行為的不尋常活動(dòng)。

他表示，該程序只由短短10行代碼組成，可以讀取和寫入其他應(yīng)用程序也修改的文件和注冊(cè)表鍵。他補(bǔ)充道，落在后面的WMI任務(wù)也很常見，因?yàn)榱硗庠S多應(yīng)用程序會(huì)因各種原因創(chuàng)建WMI任務(wù)。

此外，Switcher甚至可能不存儲(chǔ)在磁盤上，為攻擊創(chuàng)造條件后會(huì)刪除自己。

在網(wǎng)絡(luò)邊界處運(yùn)行的安全產(chǎn)品無法阻止這種流量，因?yàn)樵摿髁吭谀J(rèn)情況下已加密，由企業(yè)組織批準(zhǔn)的已知的、合法的文件同步應(yīng)用程序所生成。

眼下，接受測(cè)試的服務(wù)沒有一個(gè)通知用戶其帳戶從新的位置加以訪問，就像一些網(wǎng)站所做的那樣。據(jù)Imperva的研究人員聲稱，其中一些服務(wù)允許用戶查看其帳戶的近期活動(dòng)，這有可能揭露來自非同尋常的位置或IP填的未授權(quán)訪問，但是出現(xiàn)這種情況時(shí)，它們并不實(shí)際通過電子郵件來提醒用戶。

即便可以檢測(cè)出這種威脅，恢復(fù)正常也問題重重，因?yàn)樵谝恍┣闆r下，訪問令牌依然有效，即便用戶更改了密碼。研究人員在將于黑帽安全大會(huì)上發(fā)布的一份報(bào)告中表示，在這種情形下想恢復(fù)如初，唯一的辦法就是，實(shí)際刪除帳戶，創(chuàng)建一個(gè)新帳戶。

攻擊者已經(jīng)表示出有興趣濫用備受信賴的云服務(wù)或社交媒體網(wǎng)站，既為了向外泄露數(shù)據(jù)，又為了奪取指揮與控制權(quán)。去年12月，Blue Coat的安全研究人員報(bào)告，軍隊(duì)、外交和商界等部門遭到了一起攻擊活動(dòng)，它利用瑞典的一項(xiàng)文件同步服務(wù)(名為CloudMe)來奪取指揮與控制權(quán)。安全公司FireEye最近報(bào)告，一個(gè)名叫Hammertoss的俄羅斯網(wǎng)絡(luò)間諜團(tuán)伙利用云存儲(chǔ)服務(wù)，向外泄露眾多機(jī)構(gòu)組織的數(shù)據(jù)。

在近日于拉斯維加斯召開的BSides安全大會(huì)上，Gabriel Butterick、Dakota Nelson和Byron Wasti這三名軟件開發(fā)人員發(fā)布了一種框架，利用發(fā)布在推特、SoundCloud和Tumblr等社交媒體網(wǎng)站上的圖片、音頻片段和文本消息，就能為惡意軟件建立一條經(jīng)過加密的秘密通信通道。

Shulman表示，也許一些云存儲(chǔ)提供商會(huì)在將來改進(jìn)安全，但是這改變不了基本問題：對(duì)用戶來說有用的任何服務(wù)對(duì)攻擊者來說同樣有用。攻擊者最終會(huì)找到辦法來攻破端點(diǎn)系統(tǒng)，但是大多數(shù)時(shí)候，他們的目標(biāo)是利用它們作為跳板，進(jìn)而攻擊機(jī)構(gòu)組織的數(shù)據(jù)庫(kù)和文件服務(wù)器，而這些系統(tǒng)上存儲(chǔ)著令人關(guān)注的信息。他表示，正由于如此，公司監(jiān)控、嚴(yán)格控制對(duì)重要數(shù)據(jù)的訪問顯得至關(guān)重要。

英文：File sync services provide covert way to control hacked computers