![勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据]( "勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据")
BianLian 和 Rhysida 等勒索软件团伙越来越多地使用 Microsoft 的 Azure 存储资源管理器和 AzCopy 从受感染的网络窃取数据并将其存储在 Azure Blob 存储中。
存储资源管理器是 Microsoft Azure 的 GUI 管理工具,而 AzCopy 是一个命令行工具,可以促进与 Azure 存储之间的大规模数据传输。
在网络安全公司modePUSH观察到的攻击中,被盗数据随后被存储在云中的 Azure Blob 容器中,威胁行为者随后可以将其转移到他们自己的存储中。
![勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据]( "勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据")
然而,研究人员指出,攻击者必须付出额外的工作才能使 Azure 存储资源管理器正常运行,包括安装依赖项并将 .NET 升级到版本 8。
这表明勒索软件行动越来越关注数据盗窃,这是威胁行为者在随后的勒索阶段的主要手段。
虽然每个勒索软件团伙都有自己的一套泄露工具,但勒索软件团伙通常使用 Rclone 与各种云提供商同步文件,并使用 MEGAsync 与 MEGA 云同步。
Azure 是企业经常使用的受信任的企业级服务,不太可能被企业防火墙和安全工具阻止。因此,通过它进行的数据传输尝试更有可能顺利通过且不被发现。
此外,Azure 的可扩展性和性能使其能够处理大量非结构化数据,当攻击者试图在最短的时间内窃取大量文件时,这非常有益。
modePUSH 表示,它观察到勒索软件参与者使用 Azure 存储资源管理器的多个实例将文件上传到 blob 容器,从而尽可能加快该过程。
研究人员发现,威胁行为者在使用存储资源管理器和 AzCopy 时启用了默认的“信息”级别日志记录,这会在%USERPROFILE%.azcopy处创建一个日志文件。
该日志文件对于事件响应人员特别有价值,因为它包含有关文件操作的信息,使调查人员能够快速确定哪些数据被盗(UPLOADSUCCESSFUL)以及可能引入了哪些其他有效载荷(DOWNLOADSUCCESSFUL)。
![勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据]( "勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据")
防御措施包括监控 AzCopy 的执行情况、到“.blob.core.windows.net”或 Azure IP 范围的 Azure Blob 存储端点的出站网络流量,以及针对关键服务器上的文件复制或访问中的异常模式设置警报。
如果组织中已经使用 Azure,建议选中“退出时注销”选项,以便在退出应用程序时自动注销,以防止攻击者利用活动会话窃取文件。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):勒索软件团伙现在滥用 Microsoft Azure 工具窃取数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3225349.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论