勒索攻击 

BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。

Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一个命令行工具，可以促进与 Azure 存储之间的大规模数据传输。在网络安全公司 modePUSH 观察到的攻击中，被盗数据随后被存储在云中的 Azure Blob 容器中，威胁分子随后可以将其传输到他们自己的存储中。

Azure 存储资源管理器界面

然而，研究人员指出，攻击者必须进行额外操作才能使 Azure 存储资源管理器正常工作，包括安装依赖项和将 .NET 升级到版本 8。此举也表明勒索软件操作越来越关注数据盗窃，这是威胁分子在随后的勒索阶段的主要手段。

为什么选择 Azure

虽然每个勒索软件团伙都有自己的一套泄露工具，但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件，并使用 MEGAsync 与 MEGA 云同步。

Azure 是企业经常使用的受信任的企业级服务，不太可能被企业防火墙和安全工具阻止。因此，通过它进行的数据传输尝试更有可能顺利通过且不被发现。

此外，Azure 的可扩展性和性能使其能够处理大量非结构化数据，当攻击者试图在最短的时间内窃取大量文件时，这一点非常有益。

modePUSH 表示，它观察到勒索软件参与者使用多个 Azure 存储资源管理器实例将文件上传到 blob 容器，从而尽可能加快这一过程。

检测勒索软件泄露

研究人员发现，威胁分子在使用存储资源管理器和 AzCopy 时启用了默认的“信息”级别日志记录，这会在 %USERPROFILE%.azcopy 处创建一个日志文件。

该日志文件对于事件响应人员特别有价值，因为它包含有关文件操作的信息，使调查人员能够快速确定哪些数据被盗（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效载荷（DOWNLOADSUCCESSFUL）。

数据传输成功日志

防御措施包括监控 AzCopy 执行情况、到“.blob.core.windows.net”或 Azure IP 范围的 Azure Blob 存储端点的出站网络流量，以及对关键服务器上的文件复制或访问中的异常模式设置警报。

如果企业已经使用 Azure，建议选中“退出时注销”选项以在退出应用程序时自动注销，防止攻击者使用活动会话进行文件窃取。

参考及来源：

【原文来源：嘶吼专业版】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

一周回顾
	行业研究 | 打印机是如何泄露工作秘密的？
	Windows 漏洞 利用盲文“空格”进行 零日攻击
	网络安全知识： 什么是工业控制系统 (ICS) 网络安全？
	高管 需要注意的 网络安全习惯和行为
	世界最牛【安全架构】SAFE， 它来了！
	2024 美【黑客】大会 | (black hat usa)全课件分享
	【自查】 风险突出的30个 | 服务【高危】端口
	惊心动魄！ Akira 成功勒索100万美元， 全程谈判记录大曝光！
	网络被黑？ 原来是不履行 【网络安全】义务惹的祸
	PKfail曝光： 一场横扫ATM机、游戏机和企业服务器的安全风暴【风险】
	警惕风险突出的100个 【高危漏洞】（上）‍
	警惕风险突出的100个 【高危漏洞】（下）
	【实操篇】国产操作系统 【加固】措施汇总（202409）
	定向网络攻击？ 供应链攻击？ 黎巴嫩【传呼机爆炸】 刷新【网络战】TTP
	【漏洞预警】 VMware vCenter Server 堆溢出漏洞（CVE-2024-38812）
	速查！ 甲骨文Weblogic服务器 被【黑客】入侵
	【头条】中秋夜 | 网安一哥【奇安信】全部站点服务宕机
	我国71个机构受到勒索攻击
	全球蓝屏后，微软将安全踢出Windows内核
	提升网络安全技能和意识，应常态化开展的4项网络安全演习
	《2024年巴黎奥运会基础设施攻击报告》 显示域名犯罪激增
	我的【个人信息】 咋就泄露了呢？
	【网安周】 “交友”变“劫财”？ 这些敏感个人信息保护方法要牢记→
	Windows 0-Day 漏洞 -(CVSS 9.8)  CVE-2024-43491
	阿里云机房着火超30个小时， 云服务宕机， AWS趁火打劫？
	《网络安全 (风险评估) 报告》 ——样例
	《网络数据安全管理条例》靴子落地 | 企业如何应对更严苛的 【合规】要求？
	数据资产： 数据合规评估指南
	【零信任】落地的理想应用场景： 【数据安全】防护
	揭开【社工库】的神秘面纱 | 裸奔的个人隐私
	中国【APT组织 攻击】国内贸易公司？ | 被控主机或来自【阿里云】！
	腾讯【微信】存在 可能导致远程代码执行【漏洞】
	隔离【网络攻击】新高度！ RAMBO攻击 | 利用隔离计算机中的 RAM 窃取数据
	【黑客】对【网络攻击】的流程 +手法(15类) | 如何防护 ？
	黑客通过 PWA 应用 窃取 iOS、Android 用户的 银行凭证
	【HVV】结束了， 裁员提上日程
	美国曝光 俄罗斯军方王牌黑客部队
	针对钉钉、微信MacOS用户的 大规模间谍活动‍
	防范间谍！ 使用这类【交友软件】需谨慎！
	小道消息： Telegram 的创建者如何 与情报部门秘密合作
	【HVV】 钓鱼佬思路全放送，拒绝空军！
	遭遇严重数据泄露后， 该公司宣布投入超6亿元 【升级安全】系统
	事关每个上网的你！ 这些【网络安全】常识 请记牢
	【针对中国】公务人员的 大规模【网络钓鱼】活动
	屏幕之下，危机四伏！ 揭秘【公共电子显示屏】背后的 【安全隐患】
	航空安全系统 曝【严重漏洞】， 黑客可绕过安检进入驾驶舱
	潜藏系统2个月未被发现 【新型网络攻击】 瞄准中国高价值目标
	如何向高管层展示： 网络安全意识的业务价值？
	【HVV】 某护网中：小程序渗透
	【等保】 为什么要做等保测评？ 不做会怎样？ 怎么通过等保测评？ 2024最新攻略来了！
	《网络数据安全管理条例(草案)》 要点解读
	网传【HVV】 第一阶段结束： 常态化保障可以带来哪些改进？
	存在严重【供应链】安全风险， MLOps平台曝20多个漏洞！
	微信【重要公告】！ 这些朋友圈不能发
	新 Webkit 【漏洞】攻击者 |利用 PS4 和 PS5 游戏机： 发起攻击
	【黑神话 被“黑”！】 |《黑神话：悟空》游戏平台 遭遇DDoS【攻击】： 导致全球多国玩家无法登录
	骗子来电声音容貌竟和家人一样？ AI换脸拟声技术使用乱象惊人！
	从“网易云音乐崩了”事件 看【网络安全】
	【盘点】 十大「亿级」数据泄露 事件：个人信息还安全吗？
	自行车无线变速器 曝出【漏洞】 | 黑客可操纵比赛结果
	微信办公【泄密】的 四个高风险环节

‍

原文始发于微信公众号（安小圈）：【勒索软件】团伙滥用 Microsoft Azure 工具窃取数据