导读 SafeBreach专家OrYair在最近的黑帽会议上演示了威胁行为者如何利用云存储平台进行勒索软件攻击。问题似乎是OneDrive有一个安装在Windows设...
SafeBreach专家OrYair在最近的黑帽会议上演示了威胁行为者如何利用云存储平台进行勒索软件攻击。
问题似乎是OneDrive有一个安装在Windows设备上的应用程序,它看起来像一个文件夹,用户可以通过文件资源管理器在本地访问该应用程序,就像任何其他文件夹一样。该应用程序还会自动将该文件夹中存储的所有文件与云中的对应文件同步。
该应用程序还将所有用户日志存储在一个目录中。这些日志保存Yair能够从OneDrive目录中提取的会话令牌,并创建通向OneDrive自己目录之外的区域的连接。换句话说,他获得了对目标端点本地存储的文件的访问权限。
从那时起,结束攻击所需要做的就是加密文件。由于OneDriveAndroid应用程序中发现的缺陷,即使是存储在OneDrive中(充当影子备份)的数据也被删除。一旦应用程序完成,受害者所拥有的只是加密文件的加密备份。
雪上加霜的是,大多数端点检测和响应工具(EDR)无法发现恶意应用程序。鉴于没有在任何地方添加恶意代码,他们也无法将其标记为勒索软件或恶意软件。研究人员表示,CyberReason、MicrosoftDefenderforEndpoint、CrowdStrikeFalcon和PaloAltoCortexXDR均未通过测试。SentinelOne的程序捕获了攻击,但没有阻止它,因为OneDrive已添加到其允许列表中。
为了解决这个问题,微软已经发布了补丁,上述网络安全公司也都修复了他们的EDR。
好消息是,为了完成攻击,威胁行为者需要提前访问目标设备。因此,只要确保您的设备没有感染任何恶意软件,就可以了。