DropSmack: Bruke Dropbox til å stjele filer og levere malware

Jeg bruker Dropbox, og det gjør også 50 millioner andre mennesker. Det er oppsiktsvekkende, med tanke på at Dropbox led av noen få pinlige fartshumper relatert til brukerfilsikkerhet. Det ser ut til at det vil ta mer enn den typen oops for oss å vurdere å gi fra deg den bekvemmeligheten som Dropbox gir.

En slik digital avhengighet gir spørsmålet: hva slags "problem" vil det kreve for å overbevise noen (for eksempel meg) om å slutte å bruke Dropbox?

Da jeg spurte dette spørsmålet på et sikkerhetsseminar, skjønte jeg lite at en digital etterforsker-skråstift-tester ville gi den perfekte fartshumpen som vil ha alle 50 millioner av oss til å spørre oss: "Er det verdt å bruke Dropbox?"

Hvilket problem?

Jeg leste på seminarets orienteringsnettsted fra årets Black Hat EU og fisket etter potensielle artikkelemner, da jeg kom over et orienteringsnotat med tittelen "DropSmack: Hvordan skysynkroniseringstjenester gjør bedriftens brannmur verdiløs." Jeg kjente en kneble og leste orienteringen. Med en gang visste jeg at jeg koblet en keeper:

"Bidragene fra denne presentasjonen er tredelt. Først viser vi hvordan skybaserte synkroniseringsløsninger generelt, og Dropbox spesielt, kan brukes som en vektor for å levere malware til et internt nettverk."

De to andre bidragene var like øyeåpnende:

  • Vis hvordan Dropbox-synkroniseringstjenesten kan brukes som en Command and Control (C2) kanal.
  • Demonstrer hvordan fungerende skadelig programvare kan bruke Dropbox til å smugle ut data fra utnyttede eksterne datamaskiner.

Jeg vil presentere Mr. Jacob Williams (@MalwareJake). Jake er en meget dyktig pennetester og digital rettsmedisinske forsker ansatt i CSR Group. Han er fyren som ga Black Hat-presentasjonen, og han er den som kommer til å forårsake betydelig angst blant Dropbox-brukere så vel som bedriftssikkerhetstyper.

Hendelsene etter hvert som de utfoldet seg

Som historien går, ble Jake ansatt for å utføre en "ingen holder sperret" penetrasjonstest på et bedriftsnettverk. Ingenting Jake prøvde jobbet, selv sosialteknisk de ansatte. Da fant Jake en sprekk - selskapet CIO. Han skaffet seg en personlig e-postadresse og en måte å spire CIO på.

Han måtte bare vente til CIO brukte arbeidsnotisboken sin vekk fra selskapets meget sikre nettverk. På kortere tid enn man kunne forvente (skummelt faktisk), eide Jake den bærbare PC-en.

Mens han snopet rundt på CIOs datamaskin, kunne ikke Jake tro på lykken; han fant bedriftsdokumenter stille i en Dropbox-synkroniseringsmappe. Jake sa til meg, "Jeg visste at jeg kunne bruke Dropbox som en ledning i den indre bedriftshelligdommen. Det jeg ikke visste, var hvordan."

Det er fordi Dropbox-databaser er kryptert; og reversering av Dropbox-programvaren for å lese databasene ville ta lengre tid enn Jake hadde. For ikke å bli nektet, oppdaget Jake og årskullene hans en vei. Det virker som om store mengder øl spilte en viktig rolle (fra Jakes presentasjon av Black Hat).

Epifanien

Ved design ville Dropbox tillatt Jake å sende filer til alle enhetene som er tilknyttet CIOs Dropbox-konto, men det er ikke nok. Jake trengte en måte å infiltrere ytterligere inn i bedriftsnettverket, installere skadelig programvare og finne spesifikke dokumenter som en del av kravene til pennetest.

Regner med hvordan jeg skulle oppnå alt det som var Jakes epifanie, og som en hvilken som helst god pennetester som ønsket å få unstuck, opprettet Jake et verktøy kalt DropSmack for å utføre trinnene ovenfor.

Neste trinn var å få den lastet. Jake skjønte at alt han måtte gjøre var å få CIO til å åpne en fil infisert med DropSmack i Dropbox-mappen, og den ville installere. Her er trinnene:

  • Legge ned DropSmack i en fil som allerede er synkronisert av Dropbox.
  • Legg til litt makrogodhet.
  • Legg filen tilbake på den kompromitterte datamaskinen.
  • Fil synkroniseres automatisk.
  • Vent til offeret åpner filen i det interne nettverket.

Jeg trodde jeg hadde en gotcha; Jeg spurte Jake, "Hva med Windows 7 og trenger administratorrettigheter for å få UAC?" Jake fortalte meg noe jeg burde ha visst, men ikke, "Dropbox trenger ikke administratorrettigheter for å laste, fordi det installeres i brukerens profilkatalog. Så vi gjorde det samme med DropSmack - fint og enkelt." Noe annet jeg ikke forsto: "Nå som DropSmack er installert, hvordan kan du fortelle det hva du skal gjøre?" Jake forklarte:

DropSmack er designet for å overvåke Dropbox-synkroniseringsmappen. Vi oppretter en fil ved hjelp av en .doc-utvidelse, setter en legitim filhode på den første linjen og legger til de ønskede kommandoene. Filene våre åpnes ikke i Word (de sier at filen er ødelagt); men det er bra, det gjør filen mindre utsatt for etterforskning av en snoopy bruker.

Deretter plasserer vi den doktrerte filen i den eide datamaskinens Dropbox-mappe. Dropbox gjør det på en magisk måte å synkronisere alle tilknyttede Dropbox-mapper. DropSmack oppdager filen som er ment for den, og utfører kommandoen.

Jeg ba Jake om noen eksempler på hva DropSmack var i stand til å gjøre:

Når du infiserer en ekstern maskin med DropSmack, kan den brukes til å utføre vilkårlige handlinger på maskinen. Dette inkluderer pivotering til andre maskiner i det eksterne nettverket (for eksempel en filserver). Ved hjelp av PUT-kommandoen kan du laste opp alle nye verktøy du måtte trenge til den eksterne maskinen. EXEC-kommandoen lar deg utføre disse verktøyene. GET-kommandoen lar deg hente utdata fra alle kommandoer som ble skrevet til en utdatafil.

For å få eksterne delinger montert på en maskin, laster du bare opp et batch-skript som inneholder kommandoen "nettbruk" som sender ut til en utdatafil, EXEC skriptet og henter utdatafilen. Jeg demonstrerte dette live på Black Hat EU-konferansen, og tok en liste over brukerens hjemmekatalog, IP-konfigurasjoner og Program Files-katalogen (for å se hvilken programvare som ble installert på maskinen).

Jake slo meg til det neste spørsmålet. Jeg lurte på om varslene Dropbox opprettet ville virke rare for brukeren.

Så for nå sørger Jake for at navnet på kommandofilen er relatert til filene som allerede er i Dropbox.

mottiltak

Neste, Jake og jeg diskuterte hvordan du folier DropSmack. Jake hadde ikke så mye hensyn til normale antimalware-metoder: for eksempel IDS, brannmurer, antivirus-apper eller DLP-programvare. Han følte at hvitelisterprogramvare var den eneste sikre måten å forhindre at DropSmack laster inn.

Enda viktigere, Jake foreslo at sikkerhetsansvarlige tenker lenge og hardt før de tillater Dropbox eller et hvilket som helst filssynkroniseringsprogram, uansett hvor praktiske de er. I tillegg til de mer åpenbare årsakene til å ikke tillate fagsynkronisering av apper, kan Jake henvise til selskapets "ormeboks" selskaper som angår personvernlover. Han forklarte:

Mange generelle råd er mer enn litt bekymret for at det ser ut til å autorisere oss til å teste tester hva som kan ende opp med å være hjemmemaskiner. Det blir et klistret problem med pennetestere i disse dager når folk åpner spyd phishing-e-poster levert til bedriftens e-postadresser på maskiner som kan være privateid.

Jake påpekte også:

Lov om datasvindel og misbruk tillater ikke selskapet å godkjenne testing av en ansattes personlige eiendeler. Vanligvis løser penetrasjonstestere dette problemet (og unngå å bryte loven) ved bare å handle på skadelig programvare fra maskiner i selskapets offentlige IP-område.

Ansvarspørsmålet som følger av personvernlover påvirker mer enn bare pennetestere; selskaper som tillater filsynkroniseringsapper er tilbøyelige til å bli involvert i spørsmål som ligner på de juridiske implikasjonene av BYOD.

Siste tanker

Jake og jeg følte det som viktig å nevne at Dropbox er den klart sikreste av alle filsynkroniseringsapplikasjoner som Jake så på. Faktisk bruker han Dropbox personlig (i det minste gjorde han det før han fant problemet). Jake ville også at jeg skulle sørge for og nevne at Dropbox ikke ble kompromittert for å oppnå målet sitt om pennetesting. Det var bare en rørledning.

Noen flere interessante ting fra Jake:

  • Oftere enn ikke blir Dropbox lastet på bedriftsnettverk enten det er godkjent eller ikke - mesteparten av tiden er det ikke.
  • Det er en god fordel at gutta kjenner denne teknikken, og bruker allerede den.

Artikkelen kan få det til å virke som DropSmack er mer av en virksomhets bekymring, men det er ikke nødvendigvis slik. Når DropSmack eller lignende skadelig programvare blir mainstream i dårlig fyr kretser, er det alles bekymring.

© Copyright 2020 | mobilegn.com