在最近的 Black Hat 安全会议中,SafeBreach 的 Or Yair 提出了 Microsoft 的 OneDrive 档案分享程式可被用作勒索软体的潜在风险,能加密目标机器的大部分档案,且无法恢复,这主要是因为该程式在 Windows 系统和端点检测及回应工具EDR中是被固有信任的。他表示:
“如果我告诉你有一种方法可以加密所有敏感数据和使用者档案,而实际上并未加密任何档案在你的电脑上,你会怎么想?”
Microsoft 已对 OneDrive 进行修补,修补后的版本不再受到攻击影响,具体为版本 2306103190003、2310105140001 及之后版本。Yair 则开发了一个名为 DoubleDrive 的自动化工具,能在旧版本的 OneDrive 上运行,并已在 GitHub 上发布。
“当我开始这项研究时,我想创建一种完全无法检测的勒索软体,”Yair 解释说。“我认为我需要一个双重代理程式。”
他指出,Dropbox、Google Drive 或 iCloud 等云存储及同步服务的本地代理程式都是适合的候选对象,因为档案可在云端加密并同步到目标机器上。
它们会在机器上与云端档案同步,并且默认为大型驱动应用程式,这是最理想的选择。
然而,Yair 认为,没有哪种服务像 OneDrive 一样令人满意,自2013年以来,它已在 Windows 上自动安装,并被微软宣传为对抗勒索软体的防护措施。他说:
“对于微软而言,OneDrive 是对抗勒索软体的庇护所。”
然而,要对目标机器发动攻击,Yair 解释说,首先需要进入目标使用者的 OneDrive 帐户。这比他预期的要简单得多。
“OneDrive 非常友好,甚至将其存取令牌写入其日志中,”他表示。“这些日志并不是立即可读的,但可以使用一个在 GitHub 上找到的程式来解密存取令牌。”
白鲸加速器1.44Yair 还发现,任何以当前使用者权限运行的程式都可以访问使用者的 OneDrive 帐户。他成功地通过将令牌上传到目标使用者的 OneDrive 帐户,然后使用 OneDrive 的分享档案功能将其发送给自己来外泄存取令牌。值得注意的是,攻击者还需要拥有有效的 Microsoft 帐户。
Yair 说:“无论如何,我们已经获得了受害者的 OneDrive 帐户的控制权。这使我们能够创建一种无需代码的勒索软体,甚至不必在受害者的电脑上执行。”
但那么,所有不在受害者 OneDrive 资料夹中的档案该如何加密呢?
Yair 解释说,OneDrive 允许在 OneDrive 资料夹内创建名为“连
