云存儲(chǔ)平臺(tái)與效勞安全分析報(bào)告概要“Maninthecloud〔MITC〕”。MITC攻擊將常見(jiàn)的文件同步C&C、數(shù)據(jù)泄露和遠(yuǎn)程訪問(wèn)根底設(shè)施。不用使用任何的exp，只需簡(jiǎn)潔的重構(gòu)下這些效勞就可將它們轉(zhuǎn)化成一個(gè)災(zāi)難性的攻擊工具，并且還不簡(jiǎn)潔被常見(jiàn)的安全檢測(cè)方法檢測(cè)到。者exp，所以很難檢測(cè)到，也很簡(jiǎn)潔被感染。另外借助于同步協(xié)議，要想從正常的流量中區(qū)分出惡意流量幾乎是不行能的事情。即使有人覺(jué)察到，也很難找出感攻擊中，攻擊者無(wú)需入侵受害者的用戶名和密碼就可訪問(wèn)受害者賬戶。背景近幾年中，入侵大事和數(shù)據(jù)泄露大事頻發(fā)。摩根的美國(guó)家庭受到影hackingteam被黑客攻擊，400GB數(shù)據(jù)泄露。被竊取的信用卡信息、個(gè)人敏感數(shù)據(jù)等已被黑客放在地下市場(chǎng)上進(jìn)展交易。VPNsSaaS應(yīng)用程序的使用，越來(lái)越多的用戶選擇將數(shù)據(jù)存儲(chǔ)在然而對(duì)于這樣一個(gè)沒(méi)有邊界的區(qū)域，怎樣保護(hù)數(shù)據(jù)安全呢？GoogleDrive、Dropbox、OneDrive、Box。動(dòng)機(jī)解決方法，攻擊者似乎已經(jīng)找出了應(yīng)對(duì)方案。以用攻擊者賬戶同步受害者終端。Maninthecloud〔MITC〕攻擊短暫的doubleswitchManinthecloud攻擊格外簡(jiǎn)潔，攻擊者可以共享受害者的文件同步賬戶。隨之攻擊者便可以訪問(wèn)受害者同步的文件，并在其中注入惡意代碼，其中要使用。攻擊流程如以下圖：exp執(zhí)行SwitcherDriveAPP上植入攻擊者的同當(dāng)完成第一個(gè)開(kāi)關(guān)時(shí)，Switcher會(huì)將初始同步token復(fù)制到同步文件夾中DriveAPP同步攻擊者賬戶攻擊者擁有受害者的同步token連承受害者的文件同步賬戶SwitchertokenDriveAPP恢復(fù)到最原始的狀態(tài)。長(zhǎng)久的doubleswitch行任意代碼、搜集代碼的輸出等。exp執(zhí)行APP當(dāng)完成第一個(gè)開(kāi)關(guān)時(shí)，Switcher會(huì)將初始同步token復(fù)制到同步文件夾中。DriveAPP同步攻擊者賬戶攻擊者擁有受害者同步token連承受害者的文件同步賬戶Switcher工具其次次運(yùn)行在受害者設(shè)備上，恢DriveAPP恢復(fù)到最原始的狀態(tài)者設(shè)備。一旦獲得遠(yuǎn)程訪問(wèn)權(quán)限，攻擊者便可在受害者設(shè)備上執(zhí)行任意代碼代碼別文件并執(zhí)行夾中，同樣也會(huì)同步到攻擊者設(shè)備上和代碼。在這個(gè)環(huán)節(jié)中，攻擊者會(huì)把受害者的云存儲(chǔ)當(dāng)做C&C和遠(yuǎn)程訪問(wèn)根底設(shè)施。SingleSwitch攻擊中，受害者的數(shù)據(jù)會(huì)同步到受攻擊者掌握的賬戶上。Switcher。DriveAPP受害者的數(shù)據(jù)會(huì)同步到攻擊者賬號(hào)在長(zhǎng)久性攻擊中，攻擊者同樣會(huì)設(shè)置遠(yuǎn)程訪問(wèn)受害者設(shè)備將代碼放在受他們掌握的設(shè)備的同步文件夾中后執(zhí)行MITC攻擊的長(zhǎng)久性MITC戶可能被入侵，他也很難阻擋攻擊者進(jìn)一步訪問(wèn)其賬戶。當(dāng)用戶不連接賬戶或者不連接設(shè)備時(shí)，DropboxDropbox可以廢除被攻擊者token。但是假設(shè)攻擊者已經(jīng)將受害者的token恢復(fù)到了初始狀態(tài)，那么受害者就沒(méi)有方法廢除它們了。token，就能順藤摸瓜，找到更token的規(guī)章。也就是說(shuō)即使用戶更改了密碼，他們照舊能“廢除全部token”可最大化的降低被攻擊者竊取密碼的可能性。GoogleDrivetoken都恢復(fù)到初始狀態(tài)并且要求每個(gè)設(shè)備輸入用戶名和密碼重認(rèn)證。類似，會(huì)恢復(fù)更的GoogleDrivetoken的設(shè)備會(huì)連續(xù)接收、訪問(wèn)數(shù)據(jù)，而且這些設(shè)備需要人工手動(dòng)從賬戶中去除。云存儲(chǔ)平臺(tái)分析本節(jié)將介紹一些我們分析過(guò)的應(yīng)用，包含同步測(cè)試應(yīng)用的版本號(hào)如以下圖：GoogleDrive2.0進(jìn)展授權(quán)。當(dāng)用戶首次登陸ee會(huì)提示用戶輸入用戶“token”。更的token。假設(shè)token。GoogleDrive的重要數(shù)據(jù)會(huì)保存在HKEY_CURRENT_USER\Software\Google\Drive名目下，該路徑的解密密鑰是：OAuthToken_o3hPm********Bni0=token操作系統(tǒng)中一個(gè)格外常功能token，所以劫持調(diào)用就能找到哪些數(shù)據(jù)被加密了。GoogleDrive加密了一個(gè)由多種字段組成的64位編碼的字符串：tokenID應(yīng)用認(rèn)證需要的用戶信息APIs列表上面的數(shù)據(jù)可用下面的方式串聯(lián)成一個(gè)唯一的字符串：‘2G’+Base64Encode(RefreshToken)+‘|’+Base64Encode(ClientID)+‘|’+Base64Encode(ClientSecret)+‘|’+Base64Encode(Base64Encode(feedsAPI)+‘|’Base64Encode(driveAPI)+‘|’+Base64Encode(googletalkAPI)+‘|’+Base64Encode(docsAPI))GoogleDrive數(shù)據(jù)庫(kù)中。該數(shù)據(jù)庫(kù)中還存儲(chǔ)著應(yīng)用程序版本信息、同步文件的路徑、用戶郵箱等。基于以上信息，攻擊者可用一個(gè)簡(jiǎn)潔的代碼檢索token，然后執(zhí)行以下任務(wù)：HKEY_CURRENT_USER\Software\Google\Drive中讀取有效用戶名功能解密數(shù)據(jù)tokentoken，且必需GoogleDrivetoken，然后執(zhí)行上token，然后在受害token本身外，攻擊者還需供給當(dāng)應(yīng)用進(jìn)程對(duì)其進(jìn)展加密OAuthToken_******注冊(cè)表中刪除舊的名目上的名稱〔OAuthToken_o3hPm********Bni0=〕后植入進(jìn)的注冊(cè)表中名目之外，sync_config.db數(shù)據(jù)表中的數(shù)據(jù)都替換成攻擊者的數(shù)據(jù)應(yīng)用Dropbox2011年的一篇博文中提到，Dropbox用的是”host_id”。這個(gè)東西被當(dāng)作授config.dbx”(舊版本Dropbox帳號(hào)內(nèi)host_idhost_id文件不會(huì)隨密碼的轉(zhuǎn)變而轉(zhuǎn)變密。然而這兒的加密密鑰可以被輕松提取。為了獵取受害者原來(lái)的同步密鑰，攻擊者需要解DhiruKholiapython腳本會(huì)從注冊(cè)表獵取加密的鍵值，然后用標(biāo)準(zhǔn)的WindowsAPI解密，然后獵取實(shí)際的密鑰。正如前面API，會(huì)用現(xiàn)在已經(jīng)登錄的用戶的憑證來(lái)解密。sqlite3-dbx，這款工具也是DhiruKholia寫(xiě)的，它會(huì)用提取的加密密鑰解密config可以在這個(gè)數(shù)據(jù)庫(kù)里找到“host_id”和它的值。從一個(gè)賬戶切換到另一個(gè)賬戶的完整過(guò)程如下：假設(shè)有的話)獵取數(shù)據(jù)庫(kù)密鑰和前面獲得的密鑰翻開(kāi)config.dbx文件host_id替換成的host_id運(yùn)行Dropbox接著攻擊者就會(huì)用他掌握的電腦中竊取的host_id。假設(shè)把他掌握的電腦中的“device_id”也一起〔不會(huì)有類似“來(lái)自設(shè)備的登錄”的提示〕。有幾個(gè)安全漏洞使得這種攻擊難以檢測(cè)防范。host_id的數(shù)據(jù)，也可以通過(guò)web界面掌握Dropboxhost_id值之前是每個(gè)Dropbox賬號(hào)永久不變的。現(xiàn)在，Dropbox會(huì)為每個(gè)登錄生成權(quán)了。對(duì)攻擊者來(lái)說(shuō)，要避開(kāi)被認(rèn)為是設(shè)備登錄〔從而避開(kāi)受害者收到“設(shè)備登錄”的郵件〕也是很簡(jiǎn)潔的事。只要從受害者電腦上獲得“device_id”然后用在攻擊者掌握的電腦上就好了。只要改動(dòng)不是太多，就Dropbox會(huì)跟蹤登錄位置〕，但對(duì)每個(gè)設(shè)備只會(huì)保存一個(gè)記錄。因此，假設(shè)兩臺(tái)電腦使用一樣的“device_id”，受害者就很難留意到賬號(hào)被盜，由于大是受害者的位置。隱蔽蹤跡。OneDrive2.0進(jìn)展應(yīng)用授權(quán)。第一次驗(yàn)證的時(shí)候，需要用戶輸入用戶名和密碼，之后tokentoken過(guò)期，token配備一個(gè)“user-id”。Store存儲(chǔ)Store使用用戶的賬號(hào)名和密碼登錄憑證加密數(shù)據(jù)。WindowsAPI調(diào)用用于訪問(wèn)CredentialsStore，以及檢索名為“OneDriveCached存儲(chǔ)在“password”字段中，user-id存儲(chǔ)在“username”字段中。開(kāi)啟賬戶需要執(zhí)行以下操作：終止運(yùn)行中的OneDrive(假設(shè)有的話)名目替換成受攻password字段<user-id>.txt文件e\settings\Personal)〕<user-id>.txt文件內(nèi)容到受害者的設(shè)置文件夾中運(yùn)行OneDriveOneDrive賬戶，并且還能看到是從哪里連接的。假設(shè)開(kāi)啟這項(xiàng)功能，用戶則可以看到最近的活動(dòng)和連接賬戶的地理位置。但是假設(shè)用戶的“user-id”被同時(shí)從兩個(gè)不同的地點(diǎn)使用，它也不會(huì)通知用戶。BoxOAuth進(jìn)展授權(quán)，token。用戶名是賬戶的郵件地址，存儲(chǔ)的數(shù)據(jù)是加密的更就會(huì)被儲(chǔ)存在“C:\Users\%USERNAME%\AppData\Local\BoxSync\wincrypto_pass.cfg”文本文件中。不同的是，無(wú)論何時(shí)，Box進(jìn)展操作，Box就能獲得refreshtoken。成以下操作：Box(假設(shè)有的話)Box的初始密碼字段的同步文件夾時(shí)應(yīng)當(dāng)隱蔽彈出窗口，選擇同步文件夾Box刪除的時(shí)候會(huì)通知用戶。另外，Box還會(huì)顯示連接設(shè)備的地理位置。token懇求一。隨之，Boxtoken，不再使用Boxtoken之前將受攻擊者掌握的終端連接到效勞上。總結(jié)從上面的爭(zhēng)論中可以覺(jué)察，利用常用的文件同步從攻擊者的角度看，這種技術(shù)有很大的優(yōu)點(diǎn)，惡意行為完畢之后，惡意代碼不會(huì)存在受害