BianLian 和(hé) Rhysida 等勒索軟件(jiàn)團夥越來(lái)越多(duō)地(dì)使用(yòng) Microsoft 的₩(de) Azure 存儲資源管理(lǐ)器(qì)和(hé) AzCopy 從(cóng)受感染的(de✔)網絡竊取數(shù)據并将其存儲在 Azure Blob 存儲中。
Storage Explorer 是(shì) Microsoft Azure 的(de) GUI 管理(lǐ)工(gōng)具,而 AzCopy 是(γshì)一(yī)個(gè)命令行(xíng)工(gōng)具,可(kě)以促進與 Azure 存儲之間(jiān)的(de)大(dπà)規模數(shù)據傳輸。在網絡安全公司 modePUSH 觀察到(dào)的(de)攻擊中,被盜數(shù)據随後被存儲在雲中的(de) Azure Blob 容器(qì)&中,威脅分(fēn)子(zǐ)随後可(kě)以将其傳輸到(dào)他(tā)們自(zì)己的(de)>存儲中。
然而,研究人(rén)員(yuán)指出,攻擊者必須進行(xíng)額外(wài)操作(zuò)才能(néng)使 Azure 存儲資源管理(δlǐ)器(qì)正常工(gōng)作(zuò),包括安裝依賴項和(hé)将 .NET 升級到(dào)版本 8。此舉也(yě)表明(míng)勒索軟件(jiàn)操₩作(zuò)越來(lái)越關注數(shù)據盜竊,這(zhè)是(shì)威脅分(fēn)子(zǐ)在随後的(de )勒索階段的(de)主要(yào)手段。
為(wèi)什(shén)麽選擇 Azure
雖然每個(gè)勒索軟件(jiàn)團夥都(dōu)有(yǒu)自(zì)己的(de)一(yī)套洩露工(gōng)具,但(dàγn)勒索軟件(jiàn)團夥通(tōng)常使用(yòng) Rclone 與各種雲提供商同步文(wén)件(jiàn),并使用(yòng) MEGAsync 與 MEGA 雲同∞步。
Azure 是(shì)企業(yè)經常使用(yòng)的(de)受信任的(de)企業(yè)級服務,不(bù)太可(kě)能(néng)被企業(yè)防火(huǒ)牆和(σhé)安全工(gōng)具阻止。因此,通(tōng)過它進行(xíng)的(de)數(shù)據傳輸嘗試更有(yǒu)可(kě)能(néng)順利通(tōng)過且不(bù)被發★現(xiàn)。
此外(wài),Azure 的(de)可(kě)擴展性和(hé)性能(néng)使其能(néng)夠處理(lǐ)大(dà)量非結構化(huà)數(₹shù)據,當攻擊者試圖在最短(duǎn)的(de)時(shí)間(jiān)內(nèi)竊取大(dà)量文(wén)件(jiàn)時(shí),這(zhè)β一(yī)點非常有(yǒu)益。
modePUSH 表示,它觀察到(dào)勒索軟件(jiàn)參與者使用(yòng)多(duō)個(gè) Azure 存儲資源管理(lǐ)器(qì)實例将文(wén)件(ji£àn)上(shàng)傳到(dào) blob 容器(qì),從(cóng)而盡可(kě)能(néng)加快(kuài)這(zhè)一(yī)過程。
檢測勒索軟件(jiàn)洩露
研究人(rén)員(yuán)發現(xiàn),威脅分(fēn)子(zǐ)在使用(yòng)存儲資源管∏理(lǐ)器(qì)和(hé) AzCopy 時(shí)啓用(yòng)了(le)默認的(de)“信息”級别日(rì)志(zhì)記錄,這(zhè)會(huì')在 %USERPROFILE%\.azcopy 處創建一(yī)個(gè)日(rì)志(zhì)文(wén)件(jiàn)。
該日(rì)志(zhì)文(wén)件(jiàn)對(duì)于事(shì)件(jiàn)響應人(rén)員(yuán)特别有(yǒu)價值,因為(wèi)它包含有(y•ǒu)關文(wén)件(jiàn)操作(zuò)的(de)信息,使調查人(rén)員(yuán)能(néng)夠快(kuài)速确定哪些(xiē)數(shù)據被盜(UPLOADSUCC∞ESSFUL)以及可(kě)能(néng)引入了(le)哪些(xiē)其他(tā)有(yǒu)效載荷(DOWNLOADSUCCESSFUL)。
防禦措施包括監控 AzCopy 執行(xíng)情況、到(dào)“.blob.core.windows.net”£或 Azure IP 範圍的(de) Azure Blob 存儲端點的(de)出站(zhàn)網絡流量φ,以及對(duì)關鍵服務器(qì)上(shàng)的(de)文(wén)件(jiàn)複制(zhì)或訪問(wèn)中的(de)異常模式設置®警報(bào)。
如(rú)果企業(yè)已經使用(yòng) Azure,建議(yì)選中“退出時(shí)注銷”選項以在退φ出應用(yòng)程序時(shí)自(zì)動注銷,防止攻擊者使用(yòng)活動會(huì)話(huà)進行(xíng)文(wén)件(jiàn)竊取。
