Когда еще можно почувствовать себя таким уязвимым, как не во время конференции Black Hat и по ее итогам? Специалисты компании Imperva показали в Лас-Вегасе, что получить доступ к чужим файлам в облачном хранилище (будь то Microsoft OneDrive, Dropbox, Google Drive или Box) можно достаточно легко. А еще можно использовать облачные сервисы синхронизации файлов для C&C коммуникаций, заражения пользователей малварью, получения удаленного доступа и более прозаичных вещей. Но самое неприятное заключается в том, что для всего описанного исследователям не понадобилось даже компрометировать пользовательские логины и пароли.

Атаку назвали man-in-the-cloud по аналогии с man-in-the-middle. Исследователи отмечают, что восстановить аккаунт и контроль над ним, после такой атаки, не всегда возможно.

Атака строится на краже уникальных токенов, которые генерируются при первом использовании сервиса и для удобства хранятся на пользовательской машине. Дабы клиенту не приходилось вводить пароль каждый раз, когда происходит синхронизация данных между разными устройствами, в реестре или Windows Credential Manager лежит маленький файл. Конечно, токены зашифрованы, но если сам файл токена был украден, к примеру, в ходе фишинговой атаки или посредством применения drive-by эксплоита, дело плохо.

Атакующий может обмануть облачное хранилище, прикинувшись настоящим владельцем аккаунта. После этого хакер может делать с аккаунтом что угодно, начиная от подмены пользовательских файлов на вредоносные и заканчивая банальной кражей данных, или их шифрованием с требованием выкупа. Пользователь, в свою очередь, ничего странного не заметит (если, конечно, не получит требование о выкупе).

Законные владельцы аккаунтов практически бессильны в такой ситуации. Так как токены уникальны и привязаны к конкретным устройствам, смена пароля ни к чему не приведет. В частности, Dropbox вообще не обновляет токены при смене пароля. Google Drive защищен лучше и после смены пароля требует повторной авторизации на всех устройствах.

Еще одно преимущество данной атаки состоит в том, что вредоносный код может находиться даже не на самой машине пользователя, а в облаке. Информация передается по стандартным зашифрованным каналам, не вызывая подозрений. Таким образом, атаку и несанкционированный доступ к данным очень трудно обнаружить. Нечто подобное недавно обнаружили специалисты компании FireEye, в ходе исследования бекдора Hammertoss. Он тоже маскируется в легитимном трафике и старается не привлекать к себе внимания.

Фото: 111692634@N04@flickr



3 комментария

  1. Int

    07.08.2015 at 13:54

    Что такого хорошего в этих облачных хранилищах? Почему все ими пользуются?

  2. k0t1k

    07.08.2015 at 15:22

    Так вроде можно выкинуть определённое устройство из доверенных? Где-то на сайте Дропбокса есть такая штука…

  3. galll

    08.08.2015 at 12:35

    Int, устройств слишком много, вот и пользуются,

Оставить мнение