通过文件同步服务 黑客可偷偷控制计算机

文件同步服务过去常常支持企业组织内部的移动员工，它也可能成为一个薄弱环节，攻击者可以钻其空子，潜伏在中招的网络里面而不被察觉。

安全公司Imperva的研究人员发现，如果攻击者对文件同步服程序运行在其中的计算机获得了有限的访问权，不用实际窃取用户名称和密码，轻而易举就能劫持Dropbox、Google Drive、微软OneDrive和Box等提供的服务的用户帐户。

一旦帐户被劫持，攻击者就可以利用帐户窃取存储在里面的数据，并且远程控制中招的计算机，根本不用可能被反病毒或其他安全产品检测出来的任何恶意软件程序。

Imperva的研究人员发现，他们打量的所有文件同步应用程序都通过用户首次登录后生成的访问令牌，提供了继续访问用户的云存储帐户这一便利。这些令牌存储在用户计算机上的特殊文件、Windows注册表或Windows凭据管理器中，这取决于具体使用的应用程序。

研究人员研发了一款名为Switcher的简单工具，其作用就是执行研究人员所说的“双开关”(double switch)攻击。

Switcher可以通过恶意电子邮件附件或充分利用浏览器插件中安全漏洞的路过式下载漏洞，部署在系统上。如果钻了这个漏洞的空子，程序甚至没必要写入到磁盘上。它可以直接装入到计算机的内存中，不需要高级权限就能执行其例程。

Switcher先为目标文件同步应用程序复制一份用户的访问令牌，然后换成对应于攻击者控制的帐户的访问令牌。然后，它重启应用程序，那样它就能与攻击者的帐户实现同步。

之前保存的用户令牌被复制到同步文件夹，那样攻击者就能收到一份用户令牌，随后Switcher应用程序恢复回来，迫使应用程序回过头来与用户的实际帐户关联起来，双开关一名由此而来。

然而，由于攻击者现在有了一份用户的访问令牌，他就能在自己的计算机上使用Switcher，并与用户的实际帐户进行同步，获得一份存储在帐户里面的所有文件。

如果让Switcher创建一项计划任务或者Windows管理规范(WMI)事件：某个特定的文件出现在同步文件夹中时，就会触发事件，可以让攻击进入到下一步。攻击者就可以创建该文件，含有由计划任务执行的命令。