微软的Azure云服务被用于托管恶意软件和C2服务器

微软的Azure云服务已经成为网络犯罪分子存储恶意内容的一个有吸引力的选择。从网络钓鱼模板到恶意软件以及命令和控制服务，似乎骗子们为他们找到了新的地方。

就在本月，BleepingComputer报告了与Azure上的恶意软件相关的两起事件。在一个案例中，大约有200个网站显示 了在平台上托管的技术支持诈骗。

本周发布的另一篇文章通知Azure用于托管 Office 365 的网络钓鱼模板。作为Microsoft的产品，scam显示为合法登录请求，提高了成功率。

看来这些都不是孤立的事件。安全研究人员JayTHL  和MalwareHunterTeam  在Azure上发现恶意软件并于5月12日向微软报告。

有趣的MS托管的mal f / b @malwrhunterteam

systemservicex.azurewebsites [。] net / Files / prenter.exe 

> 

systemservicex.azurewebsites [。] net / data.asmx 

在SOAP格式的消息集中。

U /一个Mozilla / 4.0（兼容; MSIE 6.0; MS Web服务客户端协议2.0.50727.5485）@JAMESWT_MHT pic.twitter.com/rV0wzpulgW

- JTHL（@JayTHL）2019年5月11日

interesting MS-hosted mal f/b @malwrhunterteam

systemservicex.azurewebsites[.]net/Files/prenter.exe

>

systemservicex.azurewebsites[.]net/data.asmx

in a SOAP-format set of messages.

u/a Mozilla/4.0 (compatible; MSIE 6.0; MS Web Services Client Protocol 2.0.50727.5485)@JAMESWT_MHT pic.twitter.com/rV0wzpulgW

— JTHL (@JayTHL) May 11, 2019

根据AppRiver网络安全公司的报告，5月29日，报告的恶意软件以及稍后上传的其他样本仍然存在于微软的Azure基础设施中。

“很明显，Azure目前还没有检测到驻留在微软服务器上的恶意软件，” AppRiver的David Pickett 说道。

其中一个示例'searchfile.exe'在4月26日被VirusTotal扫描服务编入索引，Windows Defender会检测到它。

两个研究人员发现的恶意软件也是如此，'printer / prenter.exe'是一个未编译的可移植可执行文件，专门用于避免网关和端点安全解决方案在下载时检测到它。

但是，当用户尝试在计算机上下载恶意文件时，Windows Defender将启动并阻止恶意文件。

Pickett说，在执行'printer.exe'时，调用命令行来运行C＃编译器，从而激活有效负载。

“一旦运行，这个恶意代理每2分钟生成一次XML SOAP请求，以检入并从恶意行为者Azure命令和控制站点接收命令：systemservicex [。] azurewebsites [。] net / data [。] asmx，”研究员解释说。

JayTHL详细说明该示例似乎是一个简单的代理程序，它运行从命令和控制服务器接收的任何命令。如果他们的ID号按顺序生成，他确定可以控制多达90个机器人。

Microsoft Azure不会是第一个滥用存储恶意内容的大牌平台; Google云端硬盘，Dropbox和亚马逊的网络服务只是一些例子。通常情况下，网络犯罪分子会破坏合法网站并使用它们来托管恶意内容，但他们不会回避抓住任何开展业务的机会，特别是如果风险和努力都很少。

原文始发于微信公众号（红数位）：微软的Azure云服务被用于托管恶意软件和C2服务器