Tấn công "Man-in-the-Cloud"

16:00 | 03/07/2019 | TẤN CÔNG MẠNG
Trong thời gian gần đây, đã xuất hiện một hình thức tấn công mới và trở nên phổ biến trong giới tội phạm mạng, được gọi là Man-in-the-Cloud (MitC) - có cơ chế hoạt động tương tự như tấn công Man in the Middle (MitM).

Tấn công Man-in-the- cloud là gì?

Các cuộc tấn công MitC dựa vào các dịch vụ đồng bộ hóa tệp phổ biến (như GoogleDrive, Dropbox, OneDrive và Box) làm cơ sở hạ tầng cho việc đưa ra các lệnh và kiểm soát (C&C), lọc dữ liệu và truy cập từ xa. Hầu hết các dịch vụ đám mây này đều lưu giữ một trong số các mã thông báo của họ trên thiết bị của người dùng sau khi hoàn tất quá trình xác thực ban đầu. Điều này tạo thuận tiện cho người dùng là không phải nhập mật khẩu mỗi lần nếu họ có mã thông báo OAuth, tuy nhiên mặt trái của các dịch vụ này nằm ở chính nguyên tắc hoạt động của chúng: mã thông báo cho phép truy cập từ bất kỳ thiết bị nào. Do đó, nếu kẻ tấn công sao chép được mã thông báo, anh ta sẽ có thể xâm nhập từ xa vào tài khoản đám mây của nạn nhân.

Tấn công MitC không đòi hỏi bất kỳ mã độc hoặc bất kỳ trình khai thác (exploit) nào trong giai đoạn gây nhiễm ban đầu, vì vậy rất khó phát hiện. Hơn nữa, việc sử dụng các giao thức đồng bộ hóa phổ biến khiến việc phân biệt các lưu lượng độc hại và bình thường trở nên vô cùng khó khăn (nếu không nói là không thể). Ngay cả khi có nghi ngờ về tổn hại thì việc phát hiện và phân tích bằng chứng cũng không dễ dàng bởi có rất ít dấu hiệu tổn hại của chúng được để lại tại điểm cuối. Trong các cuộc tấn công MitC, kẻ tấn công có quyền truy cập vào tài khoản nạn nhân mà không ảnh hưởng đến tên người dùng hoặc mật khẩu của nạn nhân.

Theo số liệu của công ty Minerva, nơi các nhà nghiên cứu là những người đầu tiên phát hiện ra tấn công MitC, cách tốt nhất để có được mã thông báo OAuth để xác thực là phương pháp kỹ nghệ xã hội (social engineering). Để sử dụng phương thức này, kẻ tấn công sẽ yêu cầu nạn nhân khởi chạy một trình độc hại có tên là Switcher (trình chuyển) được gửi đến người dùng qua email. Sau đó, công cụ này lấy đầu vào là mã thông báo đồng bộ hóa và lưu trữ nó vào vị trí thích hợp trên trạm cuối của nạn nhân để đồng bộ hóa với tài khoản sử dụng mã thông báo này. Mã thông báo được cung cấp cho Switcher được trích xuất từ máy. Kẻ tấn công và đại diện cho một tài khoản được tạo (và được kiểm soát) bởi kẻ tấn công. Trước khi thực hiện chuyển đổi, Trình chuyển Switcher chuyển lưu trữ mã thông báo gốc từ máy nạn nhân vào một tệp. Tập tin này được Swicher chuyển sao chép vào thư mục đồng bộ ngay sau khi chuyển đổi để mã thông báo gốc được đồng bộ hóa với tài khoản do kẻ tấn công kiểm soát. Mã trình chuyển Switcher rất đơn giản. Nó chỉ sửa đổi một số tập tin cụ thể hoặc khóa đăng ký. Theo cách này, việc xác định mã này là độc hại mà không ảnh hưởng đến phần mềm hợp pháp trở nên cực kỳ khó khăn. Sau khi chạy mã Switcher, nó có thể được xóa khỏi điểm cuối, không để lại bằng chứng xâm nhập nào.

Nếu người dùng chạy chương trình độc hại này trên hệ thống của mình, nó sẽ thiết lập mã thông báo mới thuộc về tài khoản mới được tạo bởi kẻ tấn công. Sau đó, mã thông báo hợp pháp của người dùng được chuyển sang thư mục đám mây đồng bộ. Trong quá trình đồng bộ hóa tiếp theo, dữ liệu của nạn nhân sẽ được đồng bộ hóa với tài khoản của kẻ tấn công. Cuối cùng, Switcher có thể trả lại mã thông báo gốc cho thiết bị của nạn nhân và xóa tất cả dấu vết của hoạt động độc hại. Bây giờ, kẻ tấn công có toàn quyền truy cập vào tài khoản của nạn nhân.

Các tấn công Man-in-the- cloud

Theo báo cáo của công ty Imperva, các tấn công MitC có thể được chia thành các loại sau.

Tấn công chuyển kép nhanh (Quikle Double Switch)

Cuộc tấn công khá đơn giản này cho phép kẻ tấn công chia sẻ tài khoản đã đồng bộ hóa với tập tin của nạn nhân. Kẻ tấn công sau đó có thể truy cập các tệp được nạn nhân đồng bộ hóa và lây nhiễm các tệp này bằng mã độc. Cuộc tấn công bao gồm việc chạy Switcher trên máy nạn nhân được đề cập ở trên. Điều này có thể đạt được thông qua exploit tải xuống bằng ổ đĩa hoặc thông qua một cuộc tấn công lừa đảo trưc tuyến (Fishing) đơn giản hơn. Lộ trình cuộc tấn công như sau:

1. Kẻ tấn công lừa nạn nhân (ví dụ sử dụng kỹ nghệ xã hội) hoặc sử dụng mã khai thác để thực hiện Switcher. Sau đó Switcher đưa mã thông báo đồng bộ hóa của kẻ tấn công vào DriveApplication.

2. Khi bước 1 thành công, Switcher sẽ sao chép mã thông báo đồng bộ hóa ban đầu vào thư mục được đồng bộ hóa.

3. Drive Application sau đó sẽ được đồng bộ hóa với tài khoản của kẻ tấn công.

4. Kẻ tấn công lúc này đã sở hữu mã thông báo đồng bộ hóa của nạn nhân.

5. Kẻ tấn công sau đó sử dụng mã thông báo đồng bộ hóa bị đánh cắp để kết nối với tài khoản đồng bộ hóa tệp của nạn nhân (ví dụ: sử dụng công cụ Switcher trên máy của Kẻ tấn công).

6. Công cụ Switcher chạy lần thứ hai trên máy nạn nhân (tức đó là “chuyển đổi kép”), khôi phục lại mã thông báo đồng bộ hóa ban đầu của nạn nhân, khôi phục đáng kể Drive Application về trạng thái ban đầu của nó.

Sau khi cuộc tấn công này hoàn thành, trạng thái của Drive Application (của nạn nhân) giống như trạng thái trước khi cuộc tấn công được thực hiện. Mã Switcher sẽ tự xóa và thường không để lại mã độc. Khi cuộc tấn công hoàn tất, dữ liệu được đặt bởi nạn nhân trong thư mục đồng bộ hóa cũng được đồng bộ hóa với máy kẻ tấn công.

Ngoài việc lấy thông tin nhạy cảm, kẻ tấn công có thể thực hiện mọi thao tác với các tệp trong thư mục đồng bộ hóa trên máy của anh ta và thực hiện các thay đổi lan truyền đến máy nạn nhân. Ví dụ, kẻ tấn công có thể chèn mã Macro vào tài liệu MS Word hoặc Tập lệnh vào các tài liệu PDF và thực thi chúng khi nạn nhân cố gắng truy cập các tệp này. Kết quả thực hiện sẽ được ghi lại vào thư mục đồng bộ hóa và sau đó được kẻ tấn công có thể thu thập chúng. Sau khi thu thập các kết quả, kẻ tấn công có thể xóa chúng khỏi thư mục đồng bộ và thậm chí khôi phục tài liệu ban đầu đã bị sắp đặt để xóa mọi dấu vết của cuộc tấn công. Có thể đưa ra các phương án tấn công tiềm năng khác dựa trên chuyển kép nhanh. Còn một khả năng nữa là kẻ tấn công mã hóa các tệp trên máy do kẻ tấn công kiểm soát và chúng được đồng bộ hóa với tất cả các thiết bị khác, các thiết bị này được đồng bộ hóa với tài khoản nạn nhân.

Chuyển kép liên tục

Cuộc tấn công này cũng tương tự như cuộc tấn công chuyển kép nhanh, chỉ khác là ở tấn công này kẻ tấn công muốn duy trì quyền truy cập nạn nhân từ xa. Cách tiếp cận này cho phép kẻ tấn công tương tác với máy nạn nhân hết lần này đến lần khác, có thể thực thi mã tùy ý và thu thập đầu ra của mã.

Sau khi thực hiện xong các bước như cuộc tấn công chuyển kép nhanh, kẻ tấn công thiết lập quyền truy cập từ xa vào máy tính nạn nhân. Truy cập từ xa được thiết lập bằng cách đợi tệp hiển thị tại một vị trí cụ thể trong thư mục đồng bộ hóa, sau đó thực thi tệp đó (giả sử tệp sẽ tự xóa sau khi thực hiện xong). Có nhiều phương pháp để thiết lập một cửa hậu như vậy. Ví dụ như thao tác được lên lịch, đặt các sự kiện có điều kiện thông qua WMI, đặt các mục đăng ký để thực hiện kích hoạt đăng nhập.

 Khi kẻ tấn công kích hoạt quyền truy cập từ xa, kẻ tấn công có thể thực thi mã tùy ý trên máy nạn nhân bằng cách sử dụng quy trình sau:

 1. Đặt mã vào một vị trí cụ thể trong thư mục đồng bộ hóa trên máy của kẻ tấn công.

 2. Mã được đồng bộ hóa với máy nạn nhân. Cơ chế cửa hậu sẽ xác định tệp mới và thực thi tệp đó.

 3. Đầu ra của mã được ghi vào thư mục đồng bộ hóa trên máy nạn nhân và được đồng bộ hóa với máy kẻ tấn công.

 4. Kẻ tấn công thu thập đầu ra, sau đó loại bỏ đầu ra và mã.

Trong kịch bản này, kẻ tấn công sử dụng bộ lưu trữ đám mây của nạn nhân là C&C và cơ sở hạ tầng truy cập từ xa.

Tấn công đơn (nhanh hoặc liên tục)

Hình thức tấn công này bao gồm các bước sau:

1. Kẻ tấn công lừa nạn nhân (ví dụ sử dụng kỹ nghệ xã hội) hoặc sử dụng một trình khai thác để thực hiện Switcher. Trình chuyển Switcher sau đó đẩy mã thông báo đồng bộ hóa kẻ tấn công vào Drive Ppplication.

2. Dữ liệu nạn nhân tự đồng bộ hóa với tài khoản của kẻ tấn công.

3. Cuộc tấn công nhanh đã kết thúc và bây giờ kẻ tấn công hiện có quyền truy cập vào dữ liệu của nạn nhân. Trong tấn công liên tục, kẻ tấn công đồng thời cũng thiết lập quyền truy cập từ xa vào máy nạn nhân.

4. Để thực thi mã độc trên máy nạn nhân, kẻ tấn công đặt mã vào thư mục được đồng bộ hóa của máy bị kẻ tấn công kiểm soát.

5. Mã độc được sao chép vào thư mục (được đồng bộ hóa) của nạn nhân và được thực thi.

Ưu điểm của kỹ thuật này là nó khắc phục được các dịch vụ đồng bộ hóa có chức năng phát hiện những thay trong thiết bị, hoặc vị trí thực hiện đồng bộ hóa. Thông báo về sự bất thường như vậy sẽ được gửi đến kẻ tấn công chứ không phải nạn nhân. Nhược điểm của cuộc tấn công này là Drive Application cục bộ của nạn nhân, không đồng bộ hóa chính xác được với các thiết bị khác hoặc với giao diện web. Để giảm thiểu sự nghi ngờ của nạn nhân, kẻ tấn công có thể định kỳ chuyển trở lại mã thông báo đồng bộ hóa nạn nhân - cho phép Drive Application đồng bộ hóa với tài khoản gốc.

Một số phương pháp phòng chống các cuộc tấn công MitC

Bản chất của tấn công Man-in-the-Cloud làm cho việc phát hiện chúng theo cách truyền thống như bảo vệ các điểm cuối hoặc vành đai trở nên rất khó khăn. Tuy nhiên, có một số giải pháp mà các tổ chức có thể thực hiện để giảm thiểu đáng kể khả năng bị tấn công bởi MitC. Dưới đây là các giải pháp đó.

Thường xuyên tổ chức các khóa đào tạo an ninh mạng: Đó là một trong những biện pháp hiệu quả nhất, đồng thời đơn giản nhất. Như các phân tích ở trên, các cuộc tấn công MitC phụ thuộc rất nhiều vào kỹ nghệ xã hội. Nếu một nhân viên được đào tạo tốt và có tính cảnh giác cao, sẽ ít có khả năng nhấp vào một liên kết độc hại hoặc mở một tệp đính kèm đáng ngờ. Các tổ chức quan tâm đến an ninh mạng của mình thì nên tổ chức các lớp học thường xuyên về chủ đề này cho nhân viên.

Sử dụng mã hóa để bảo vệ dữ liệu trên đám mây: Tất nhiên, mã hóa tự thân không thể ngăn chặn các cuộc tấn công MitC, nhưng nó có thể bảo vệ chống rò rỉ dữ liệu. Vì các khóa mã hóa không được lưu trữ trên thiết bị của người dùng, nên ngay cả khi kẻ tấn công thực hiện tấn công thành công cũng không thể giải mã được dữ liệu.

Xác thực 2 yếu tố 2FA: là một cách hiệu quả khác để giảm nguy cơ tấn công MitC thành công. Khả năng xác thực đa yếu tố đều được cung cấp bởi tất cả các dịch vụ đám mây hàng đầu. Cách tiếp cận này chắc chắn sẽ thêm một lớp bảo vệ khác và ngăn chặn các nỗ lực của kẻ tấn công xâm nhập vào tài khoản.

Áp dụng công nghệ CASB (a Cloud Access Security Broker): Đây là một trong những phương pháp toàn diện nhất để bảo vệ chống lại các mối đe dọa trên mạng như tấn công Man-in-the-Cloud. Các giải pháp CASB là một liên kết trung gian của tất cả lưu lượng được truyền giữa các ứng dụng đám mây của các tổ chức và các điểm cuối.

Một ưu điểm chính của giải pháp này là CASB tự động thay thế mỗi mã thông báo OAuth bằng các bản sao được mã hóa trước khi gửi chúng đến điểm cuối. Khi một thiết bị cố gắng truy cập vào một ứng dụng đám mây, nhà môi giới sẽ nhận được một mã thông báo được mã hóa duy nhất, ngay lập tức được giải mã và chuyển sang ứng dụng.

Trong trường hợp này, mã thông báo độc hại sẽ không vượt qua được khâu xác thực và kẻ tấn công sẽ không đạt được quyền truy cập vào tài khoản của nạn nhân mà chúng nhắm đến.

Sự phổ biến của công nghệ đám mây tiếp tục tăng với tốc độ chưa từng thấy và giống như các công nghệ mới khác, sự phổ biến ngày càng tăng luôn đi kèm với những rủi ro mới. Các cuộc tấn công MitC khai thác quyền truy cập dữ liệu mọi lúc, mọi nơi do đám mây cung cấp và được thiết kế để cung cấp cho tin tặc quyền truy cập trái phép vào thông tin nhạy cảm.

Vì hầu hết các tổ chức đều cho phép người dùng của họ sử dụng các dịch vụ đồng bộ hóa tệp hoặc thậm chí dựa vào các dịch vụ này như một phần của bộ công cụ hoạt động của họ, nên các cuộc tấn công MitC sẽ trở nên phổ biến hơn. Mặc dù việc phát hiện các mối đe dọa này bằng các công cụ bảo mật thông thường là hầu như không thể, nhưng điều đó không có nghĩa là các tổ chức không thể phòng thủ được. Việc thường xuyên đào tạo nhân viên kết hợp với các biện pháp bảo mật như mã hóa, xác thực hai yếu tố và CASB là sự đảm bảo chống lại các cuộc tấn công MitC và vô số mối đe dọa khác.

TÀI LIỆU THAM KHẢO

1.“Man-the-in-Cloud Attack”- Hacker Intelligenceiniative Report- Imperva 

2. Beware the man in the cloud: How to protect against a new breed of cyberattack 

3.How to detect and prevent a man-in-the-cloud attack.

Ngô Linh

Tin cùng chuyên mục

Tin mới