云存儲平臺與效勞安全分析報告概要“Maninthecloud〔MITC〕”。MITC攻擊將常見的文件同步C&C、數(shù)據(jù)泄露和遠(yuǎn)程訪問根底設(shè)施。不用使用任何的exp，只需簡潔的重構(gòu)下這些效勞就可將它們轉(zhuǎn)化成一個災(zāi)難性的攻擊工具，并且還不簡潔被常見的安全檢測方法檢測到。者exp，所以很難檢測到，也很簡潔被感染。另外借助于同步協(xié)議，要想從正常的流量中區(qū)分出惡意流量幾乎是不行能的事情。即使有人覺察到，也很難找出感攻擊中，攻擊者無需入侵受害者的用戶名和密碼就可訪問受害者賬戶。背景近幾年中，入侵大事和數(shù)據(jù)泄露大事頻發(fā)。摩根的美國家庭受到影hackingteam被黑客攻擊，400GB數(shù)據(jù)泄露。被竊取的信用卡信息、個人敏感數(shù)據(jù)等已被黑客放在地下市場上進(jìn)展交易。VPNsSaaS應(yīng)用程序的使用，越來越多的用戶選擇將數(shù)據(jù)存儲在然而對于這樣一個沒有邊界的區(qū)域，怎樣保護(hù)數(shù)據(jù)安全呢？GoogleDrive、Dropbox、OneDrive、Box。動機解決方法，攻擊者似乎已經(jīng)找出了應(yīng)對方案。以用攻擊者賬戶同步受害者終端。Maninthecloud〔MITC〕攻擊短暫的doubleswitchManinthecloud攻擊格外簡潔，攻擊者可以共享受害者的文件同步賬戶。隨之攻擊者便可以訪問受害者同步的文件，并在其中注入惡意代碼，其中要使用。攻擊流程如以下圖：exp執(zhí)行SwitcherDriveAPP上植入攻擊者的同當(dāng)完成第一個開關(guān)時，Switcher會將初始同步token復(fù)制到同步文件夾中DriveAPP同步攻擊者賬戶攻擊者擁有受害者的同步token連承受害者的文件同步賬戶SwitchertokenDriveAPP恢復(fù)到最原始的狀態(tài)。長久的doubleswitch行任意代碼、搜集代碼的輸出等。exp執(zhí)行APP當(dāng)完成第一個開關(guān)時，Switcher會將初始同步token復(fù)制到同步文件夾中。DriveAPP同步攻擊者賬戶攻擊者擁有受害者同步token連承受害者的文件同步賬戶Switcher工具其次次運行在受害者設(shè)備上，恢DriveAPP恢復(fù)到最原始的狀態(tài)者設(shè)備。一旦獲得遠(yuǎn)程訪問權(quán)限，攻擊者便可在受害者設(shè)備上執(zhí)行任意代碼代碼別文件并執(zhí)行夾中，同樣也會同步到攻擊者設(shè)備上和代碼。在這個環(huán)節(jié)中，攻擊者會把受害者的云存儲當(dāng)做C&C和遠(yuǎn)程訪問根底設(shè)施。SingleSwitch攻擊中，受害者的數(shù)據(jù)會同步到受攻擊者掌握的賬戶上。Switcher。DriveAPP受害者的數(shù)據(jù)會同步到攻擊者賬號在長久性攻擊中，攻擊者同樣會設(shè)置遠(yuǎn)程訪問受害者設(shè)備將代碼放在受他們掌握的設(shè)備的同步文件夾中后執(zhí)行MITC攻擊的長久性MITC戶可能被入侵，他也很難阻擋攻擊者進(jìn)一步訪問其賬戶。當(dāng)用戶不連接賬戶或者不連接設(shè)備時，DropboxDropbox可以廢除被攻擊者token。但是假設(shè)攻擊者已經(jīng)將受害者的token恢復(fù)到了初始狀態(tài)，那么受害者就沒有方法廢除它們了。token，就能順藤摸瓜，找到更token的規(guī)章。也就是說即使用戶更改了密碼，他們照舊能“廢除全部token”可最大化的降低被攻擊者竊取密碼的可能性。GoogleDrivetoken都恢復(fù)到初始狀態(tài)并且要求每個設(shè)備輸入用戶名和密碼重認(rèn)證。類似，會恢復(fù)更的GoogleDrivetoken的設(shè)備會連續(xù)接收、訪問數(shù)據(jù)，而且這些設(shè)備需要人工手動從賬戶中去除。云存儲平臺分析本節(jié)將介紹一些我們分析過的應(yīng)用，包含同步測試應(yīng)用的版本號如以下圖：GoogleDrive2.0進(jìn)展授權(quán)。當(dāng)用戶首次登陸ee會提示用戶輸入用戶“token”。更的token。假設(shè)token。GoogleDrive的重要數(shù)據(jù)會保存在HKEY_CURRENT_USER\Software\Google\Drive名目下，該路徑的解密密鑰是：OAuthToken_o3hPm********Bni0=token操作系統(tǒng)中一個格外常功能token，所以劫持調(diào)用就能找到哪些數(shù)據(jù)被加密了。GoogleDrive加密了一個由多種字段組成的64位編碼的字符串：tokenID應(yīng)用認(rèn)證需要的用戶信息APIs列表上面的數(shù)據(jù)可用下面的方式串聯(lián)成一個唯一的字符串：‘2G’+Base64Encode(RefreshToken)+‘|’+Base64Encode(ClientID)+‘|’+Base64Encode(ClientSecret)+‘|’+Base64Encode(Base64Encode(feedsAPI)+‘|’Base64Encode(driveAPI)+‘|’+Base64Encode(googletalkAPI)+‘|’+Base64Encode(docsAPI))GoogleDrive數(shù)據(jù)庫中。該數(shù)據(jù)庫中還存儲著應(yīng)用程序版本信息、同步文件的路徑、用戶郵箱等?；谝陨闲畔ⅲ粽呖捎靡粋€簡潔的代碼檢索token，然后執(zhí)行以下任務(wù)：HKEY_CURRENT_USER\Software\Google\Drive中讀取有效用戶名功能解密數(shù)據(jù)tokentoken，且必需GoogleDrivetoken，然后執(zhí)行上token，然后在受害token本身外，攻擊者還需供給當(dāng)應(yīng)用進(jìn)程對其進(jìn)展加密OAuthToken_******注冊表中刪除舊的名目上的名稱〔OAuthToken_o3hPm********Bni0=〕后植入進(jìn)的注冊表中名目之外，sync_config.db數(shù)據(jù)表中的數(shù)據(jù)都替換成攻擊者的數(shù)據(jù)應(yīng)用Dropbox2011年的一篇博文中提到，Dropbox用的是”host_id”。這個東西被當(dāng)作授config.dbx”(舊版本Dropbox帳號內(nèi)host_idhost_id文件不會隨密碼的轉(zhuǎn)變而轉(zhuǎn)變密。然而這兒的加密密鑰可以被輕松提取。為了獵取受害者原來的同步密鑰，攻擊者需要解DhiruKholiapython腳本會從注冊表獵取加密的鍵值，然后用標(biāo)準(zhǔn)的WindowsAPI解密，然后獵取實際的密鑰。正如前面API，會用現(xiàn)在已經(jīng)登錄的用戶的憑證來解密。sqlite3-dbx，這款工具也是DhiruKholia寫的，它會用提取的加密密鑰解密config可以在這個數(shù)據(jù)庫里找到“host_id”和它的值。從一個賬戶切換到另一個賬戶的完整過程如下：假設(shè)有的話)獵取數(shù)據(jù)庫密鑰和前面獲得的密鑰翻開config.dbx文件host_id替換成的host_id運行Dropbox接著攻擊者就會用他掌握的電腦中竊取的host_id。假設(shè)把他掌握的電腦中的“device_id”也一起〔不會有類似“來自設(shè)備的登錄”的提示〕。有幾個安全漏洞使得這種攻擊難以檢測防范。host_id的數(shù)據(jù)，也可以通過web界面掌握Dropboxhost_id值之前是每個Dropbox賬號永久不變的。現(xiàn)在，Dropbox會為每個登錄生成權(quán)了。對攻擊者來說，要避開被認(rèn)為是設(shè)備登錄〔從而避開受害者收到“設(shè)備登錄”的郵件〕也是很簡潔的事。只要從受害者電腦上獲得“device_id”然后用在攻擊者掌握的電腦上就好了。只要改動不是太多，就Dropbox會跟蹤登錄位置〕，但對每個設(shè)備只會保存一個記錄。因此，假設(shè)兩臺電腦使用一樣的“device_id”，受害者就很難留意到賬號被盜，由于大是受害者的位置。隱蔽蹤跡。OneDrive2.0進(jìn)展應(yīng)用授權(quán)。第一次驗證的時候，需要用戶輸入用戶名和密碼，之后tokentoken過期，token配備一個“user-id”。Store存儲Store使用用戶的賬號名和密碼登錄憑證加密數(shù)據(jù)。WindowsAPI調(diào)用用于訪問CredentialsStore，以及檢索名為“OneDriveCached存儲在“password”字段中，user-id存儲在“username”字段中。開啟賬戶需要執(zhí)行以下操作：終止運行中的OneDrive(假設(shè)有的話)名目替換成受攻password字段<user-id>.txt文件e\settings\Personal)〕<user-id>.txt文件內(nèi)容到受害者的設(shè)置文件夾中運行OneDriveOneDrive賬戶，并且還能看到是從哪里連接的。假設(shè)開啟這項功能，用戶則可以看到最近的活動和連接賬戶的地理位置。但是假設(shè)用戶的“user-id”被同時從兩個不同的地點使用，它也不會通知用戶。BoxOAuth進(jìn)展授權(quán)，token。用戶名是賬戶的郵件地址，存儲的數(shù)據(jù)是加密的更就會被儲存在“C:\Users\%USERNAME%\AppData\Local\BoxSync\wincrypto_pass.cfg”文本文件中。不同的是，無論何時，Box進(jìn)展操作，Box就能獲得refreshtoken。成以下操作：Box(假設(shè)有的話)Box的初始密碼字段的同步文件夾時應(yīng)當(dāng)隱蔽彈出窗口，選擇同步文件夾Box刪除的時候會通知用戶。另外，Box還會顯示連接設(shè)備的地理位置。token懇求一。隨之，Boxtoken，不再使用Boxtoken之前將受攻擊者掌握的終端連接到效勞上?？偨Y(jié)從上面的爭論中可以覺察，利用常用的文件同步從攻擊者的角度看，這種技術(shù)有很大的優(yōu)點，惡意行為完畢之后，惡意代碼不會存在受害