合法云存储同步劫持(Legitimate Cloud Storage Sync Hijacking)是一种通过滥用商业云存储服务的文件同步机制实现隐蔽传输的技术。攻击者通过窃取或伪造用户凭证登录主流云存储平台(如OneDrive、Dropbox),将恶意工具伪装成合法文件上传至同步目录,利用云服务客户端自动同步功能将文件分发至受控主机。该技术通过将恶意传输过程融入企业日常文件协作场景,有效规避基于异常协议或非常用端口的检测。
该技术的匿迹效果源于对合法业务流的深度模仿。首先,利用云存储服务固有的TLS加密通道隐藏传输内容,使中间网络设备无法直接检测文件内容。其次,通过精准控制文件同步时机(如选择业务高峰期)、文件命名规范(如仿冒办公文档命名规则)和元数据伪装(如设置合理修改时间戳),使恶意文件与正常业务文件在同步行为特征上完全一致。技术实施过程中需解决两个核心问题:凭证获取(通过钓鱼攻击或漏洞利用获取有效账户)和同步触发(通过API调用模拟用户操作或等待自然同步周期)。最终形成的传输链路具备协议合规化、行为场景化、内容隐匿化的特点,使得防御方难以区分正常文件同步与恶意工具传输。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon