可怕云端中间人攻击手法:云端硬碟其实是骇客的!

资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法，让骇客不用破解密码、不用攻击程式，也不用撰写伺服器端的程式码，即可存取用户GoogleDrive、Box、微软及Dropbox上的档案，达成窃取资料或进行其他攻击的目的。

Imperva在其报告中详细解释，「云端中间人」(man-in-the-cloud, MIIC)攻击是利用云端储存服务的档案同步化机制。档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证，使本机同步资料匣(sync folder)中的档案变更或新增可同步到同一使用者的云端服务上，反之亦然。

在实验中，研究人员设计了名为「切换器」(Switcher)的工具，只要透过网钓或挂马攻击植入使用者电脑，取得装置上的同步权杖，就可以冒充是云端服务帐号持有人。然后，经由用步化机制，即可将用户电脑的档案传到攻击者设立的云端服务帐号，如此一来，不必破解密码，也能取得用户云端档案。

攻击者也可在云端资料匣中植入木马或勒赎软体，将云端平台当作C&C平台进行其他攻击。攻击者甚至能在档案中嵌入恶意程式码，等完成任务后，再把原本干净的档案回复到用户电脑，不留痕迹。更糟的是，由于权杖和装置(而非使用者帐密)绑在一起的，因此，受害者即使修改帐号密码也防堵不了攻击者。

Imperva设计的工具只修改了用户电脑的特定档案或登录机码(registry key)，因此很难被侦测到。而且事后骇客也可以将Switcher从使用者终端移除，神不知鬼不觉。

研究人员指出，企业与个人利用Google Drive、Dropbox等云端服务进行档案同步愈来愈普及，但同步服务设计反而使其变成骇客理想的攻击平台，只要开个帐号，连C&C伺服器都不必架。在企业和个人使用云端服务成为常态的今天，有必要更注意云端的安全。

云端服务成为骇客攻击管道显然不再只是理论而已。七月底FireEye发现一只名为Hammertoss的后门程式，可利用Twitter和GitHub等合法网站作为掩护，以躲避侦测，暗中窃取用户资料。五月时中国骇客组织也被发现利用微软TechNet网站隐藏远端控制受害电脑的C&C通讯，以窃取资料或修改、删除档案。