文件同步服務過去常常支持企業(yè)組織內(nèi)部的移動員工，它也可能成為一個薄弱環(huán)節(jié)，攻擊者可以鉆其空子，潛伏在中招的網(wǎng)絡里面而不被察覺。

安全公司Imperva的研究人員發(fā)現(xiàn)，如果攻擊者對文件同步服程序運行在其中的計算機獲得了有限的訪問權，不用實際竊取用戶名稱和密碼，輕而易舉就能劫持Dropbox、Google Drive、微軟OneDrive和Box等提供的服務的用戶帳戶。

一旦帳戶被劫持，攻擊者就可以利用帳戶竊取存儲在里面的數(shù)據(jù)，并且遠程控制中招的計算機，根本不用可能被反病毒或其他安全產(chǎn)品檢測出來的任何惡意軟件程序。

Imperva的研究人員發(fā)現(xiàn)，他們打量的所有文件同步應用程序都通過用戶首次登錄后生成的訪問令牌，提供了繼續(xù)訪問用戶的云存儲帳戶這一便利。這些令牌存儲在用戶計算機上的特殊文件、Windows注冊表或Windows憑據(jù)管理器中，這取決于具體使用的應用程序。

研究人員研發(fā)了一款名為Switcher的簡單工具，其作用就是執(zhí)行研究人員所說的“雙開關”(double switch)攻擊。

Switcher可以通過惡意電子郵件附件或充分利用瀏覽器插件中安全漏洞的路過式下載漏洞，部署在系統(tǒng)上。如果鉆了這個漏洞的空子，程序甚至沒必要寫入到磁盤上。它可以直接裝入到計算機的內(nèi)存中，不需要高級權限就能執(zhí)行其例程。

Switcher先為目標文件同步應用程序復制一份用戶的訪問令牌，然后換成對應于攻擊者控制的帳戶的訪問令牌。然后，它重啟應用程序，那樣它就能與攻擊者的帳戶實現(xiàn)同步。

之前保存的用戶令牌被復制到同步文件夾，那樣攻擊者就能收到一份用戶令牌，隨后Switcher應用程序恢復回來，迫使應用程序回過頭來與用戶的實際帳戶關聯(lián)起來，雙開關一名由此而來。

然而，由于攻擊者現(xiàn)在有了一份用戶的訪問令牌，他就能在自己的計算機上使用Switcher，并與用戶的實際帳戶進行同步，獲得一份存儲在帳戶里面的所有文件。

如果讓Switcher創(chuàng)建一項計劃任務或者Windows管理規(guī)范(WMI)事件：某個特定的文件出現(xiàn)在同步文件夾中時，就會觸發(fā)事件，可以讓攻擊進入到下一步。攻擊者就可以創(chuàng)建該文件，含有由計劃任務執(zhí)行的命令。

即便Switcher刪除自己或者從內(nèi)存中清除出去，這種機制也將讓攻擊者獲得對計算機的永久性遠程訪問權。執(zhí)行命令、將輸出保存到同步文件夾后，攻擊者就能刪除它，還能刪除觸發(fā)文件，以圖掩蓋行蹤。

如果攻擊者尋求的不是偷偷潛伏或獲得永久性訪問權，另一種可能的攻擊場景就是加密用戶帳戶中的所有文件，索要贖金才能解密文件——近些年來，勒索軟件程序采用了這一手法，屢試不爽。

據(jù)Imperva的首席技術官Amichai Shulman聲稱，針對文件同步服務的這些攻擊很難被反病毒程序檢測出來，因為Switcher并不執(zhí)行任何可能被解讀為惡意軟件行為的不尋常活動。

他表示，該程序只由短短10行代碼組成，可以讀取和寫入其他應用程序也修改的文件和注冊表鍵。他補充道，落在后面的WMI任務也很常見，因為另外許多應用程序會因各種原因創(chuàng)建WMI任務。

此外，Switcher甚至可能不存儲在磁盤上，為攻擊創(chuàng)造條件后會刪除自己。

在網(wǎng)絡邊界處運行的安全產(chǎn)品無法阻止這種流量，因為該流量在默認情況下已加密，由企業(yè)組織批準的已知的、合法的文件同步應用程序所生成。

眼下，接受測試的服務沒有一個通知用戶其帳戶從新的位置加以訪問，就像一些網(wǎng)站所做的那樣。據(jù)Imperva的研究人員聲稱，其中一些服務允許用戶查看其帳戶的近期活動，這有可能揭露來自非同尋常的位置或IP填的未授權訪問，但是出現(xiàn)這種情況時，它們并不實際通過電子郵件來提醒用戶。

即便可以檢測出這種威脅，恢復正常也問題重重，因為在一些情況下，訪問令牌依然有效，即便用戶更改了密碼。研究人員在將于黑帽安全大會上發(fā)布的一份報告中表示，在這種情形下想恢復如初，唯一的辦法就是，實際刪除帳戶，創(chuàng)建一個新帳戶。

攻擊者已經(jīng)表示出有興趣濫用備受信賴的云服務或社交媒體網(wǎng)站，既為了向外泄露數(shù)據(jù)，又為了奪取指揮與控制權。去年12月，Blue Coat的安全研究人員報告，軍隊、外交和商界等部門遭到了一起攻擊活動，它利用瑞典的一項文件同步服務(名為CloudMe)來奪取指揮與控制權。安全公司FireEye最近報告，一個名叫Hammertoss的俄羅斯網(wǎng)絡間諜團伙利用云存儲服務，向外泄露眾多機構組織的數(shù)據(jù)。

在近日于拉斯維加斯召開的BSides安全大會上，Gabriel Butterick、Dakota Nelson和Byron Wasti這三名軟件開發(fā)人員發(fā)布了一種框架，利用發(fā)布在推特、SoundCloud和Tumblr等社交媒體網(wǎng)站上的圖片、音頻片段和文本消息，就能為惡意軟件建立一條經(jīng)過加密的秘密通信通道。

Shulman表示，也許一些云存儲提供商會在將來改進安全，但是這改變不了基本問題：對用戶來說有用的任何服務對攻擊者來說同樣有用。攻擊者最終會找到辦法來攻破端點系統(tǒng)，但是大多數(shù)時候，他們的目標是利用它們作為跳板，進而攻擊機構組織的數(shù)據(jù)庫和文件服務器，而這些系統(tǒng)上存儲著令人關注的信息。他表示，正由于如此，公司監(jiān)控、嚴格控制對重要數(shù)據(jù)的訪問顯得至關重要。

英文：File sync services provide covert way to control hacked computers