信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者胡金魚。

BianLian和Rhysida等勒索軟件團伙越來越多地使用Microsoft的Azure存儲資源管理器和AzCopy從受感染的網(wǎng)絡竊取數(shù)據(jù)并將其存儲在Azure Blob存儲中。

Storage Explorer是Microsoft Azure的GUI管理工具，而AzCopy是一個命令行工具，可以促進與Azure存儲之間的大規(guī)模數(shù)據(jù)傳輸。在網(wǎng)絡安全公司modePUSH觀察到的攻擊中，被盜數(shù)據(jù)隨后被存儲在云中的Azure Blob容器中，威脅分子隨后可以將其傳輸?shù)剿麄冏约旱拇鎯χ小?/p>

Azure存儲資源管理器界面

然而，研究人員指出，攻擊者必須進行額外操作才能使Azure存儲資源管理器正常工作，包括安裝依賴項和將.NET升級到版本8。此舉也表明勒索軟件操作越來越關(guān)注數(shù)據(jù)盜竊，這是威脅分子在隨后的勒索階段的主要手段。

為什么選擇Azure

雖然每個勒索軟件團伙都有自己的一套泄露工具，但勒索軟件團伙通常使用Rclone與各種云提供商同步文件，并使用MEGAsync與MEGA云同步。

Azure是企業(yè)經(jīng)常使用的受信任的企業(yè)級服務，不太可能被企業(yè)防火墻和安全工具阻止。因此，通過它進行的數(shù)據(jù)傳輸嘗試更有可能順利通過且不被發(fā)現(xiàn)。

此外，Azure的可擴展性和性能使其能夠處理大量非結(jié)構(gòu)化數(shù)據(jù)，當攻擊者試圖在最短的時間內(nèi)竊取大量文件時，這一點非常有益。

modePUSH表示，它觀察到勒索軟件參與者使用多個Azure存儲資源管理器實例將文件上傳到blob容器，從而盡可能加快這一過程。

檢測勒索軟件泄露

研究人員發(fā)現(xiàn)，威脅分子在使用存儲資源管理器和AzCopy時啟用了默認的“信息”級別日志記錄，這會在%USERPROFILE%.azcopy處創(chuàng)建一個日志文件。

該日志文件對于事件響應人員特別有價值，因為它包含有關(guān)文件操作的信息，使調(diào)查人員能夠快速確定哪些數(shù)據(jù)被盜（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效載荷（DOWNLOADSUCCESSFUL）。

數(shù)據(jù)傳輸成功日志

防御措施包括監(jiān)控AzCopy執(zhí)行情況、到“.blob.core.windows.net”或Azure IP范圍的Azure Blob存儲端點的出站網(wǎng)絡流量，以及對關(guān)鍵服務器上的文件復制或訪問中的異常模式設置警報。

如果企業(yè)已經(jīng)使用Azure，建議選中“退出時注銷”選項以在退出應用程序時自動注銷，防止攻擊者使用活動會話進行文件竊取。