99久久国产精品欧美蜜芽,精品一区二区在线,亚洲成人一区二区三区不卡,av在线日韩精品一区二区

咨詢電話

19119279002

勒索軟件團(tuán)伙濫用 Microsoft Azure 工具竊取數(shù)據(jù)

標(biāo)簽: 長(zhǎng)沙網(wǎng)絡(luò)公司 長(zhǎng)沙軟件開發(fā) 長(zhǎng)沙網(wǎng)站建設(shè) 2024-09-26 

BianLian 和 Rhysida 等勒索軟件團(tuán)伙越來越多地使用 Microsoft 的 Azure 存儲(chǔ)資源管理器和 AzCopy 從受感染的網(wǎng)絡(luò)竊取數(shù)據(jù)并將其存儲(chǔ)在 Azure Blob 存儲(chǔ)中。

Storage Explorer 是 Microsoft Azure 的 GUI 管理工具,而 AzCopy 是一個(gè)命令行工具,可以促進(jìn)與 Azure 存儲(chǔ)之間的大規(guī)模數(shù)據(jù)傳輸。在網(wǎng)絡(luò)安全公司 modePUSH 觀察到的攻擊中,被盜數(shù)據(jù)隨后被存儲(chǔ)在云中的 Azure Blob 容器中,威脅分子隨后可以將其傳輸?shù)剿麄冏约旱拇鎯?chǔ)中。

1726638151103323.png

然而,研究人員指出,攻擊者必須進(jìn)行額外操作才能使 Azure 存儲(chǔ)資源管理器正常工作,包括安裝依賴項(xiàng)和將 .NET 升級(jí)到版本 8。此舉也表明勒索軟件操作越來越關(guān)注數(shù)據(jù)盜竊,這是威脅分子在隨后的勒索階段的主要手段。

為什么選擇 Azure

雖然每個(gè)勒索軟件團(tuán)伙都有自己的一套泄露工具,但勒索軟件團(tuán)伙通常使用 Rclone 與各種云提供商同步文件,并使用 MEGAsync 與 MEGA 云同步。

Azure 是企業(yè)經(jīng)常使用的受信任的企業(yè)級(jí)服務(wù),不太可能被企業(yè)防火墻和安全工具阻止。因此,通過它進(jìn)行的數(shù)據(jù)傳輸嘗試更有可能順利通過且不被發(fā)現(xiàn)。

此外,Azure 的可擴(kuò)展性和性能使其能夠處理大量非結(jié)構(gòu)化數(shù)據(jù),當(dāng)攻擊者試圖在最短的時(shí)間內(nèi)竊取大量文件時(shí),這一點(diǎn)非常有益。

modePUSH 表示,它觀察到勒索軟件參與者使用多個(gè) Azure 存儲(chǔ)資源管理器實(shí)例將文件上傳到 blob 容器,從而盡可能加快這一過程。

檢測(cè)勒索軟件泄露

研究人員發(fā)現(xiàn),威脅分子在使用存儲(chǔ)資源管理器和 AzCopy 時(shí)啟用了默認(rèn)的“信息”級(jí)別日志記錄,這會(huì)在 %USERPROFILE%\.azcopy 處創(chuàng)建一個(gè)日志文件。

該日志文件對(duì)于事件響應(yīng)人員特別有價(jià)值,因?yàn)樗嘘P(guān)文件操作的信息,使調(diào)查人員能夠快速確定哪些數(shù)據(jù)被盜(UPLOADSUCCESSFUL)以及可能引入了哪些其他有效載荷(DOWNLOADSUCCESSFUL)。

1726638152109212.png

防御措施包括監(jiān)控 AzCopy 執(zhí)行情況、到“.blob.core.windows.net”或 Azure IP 范圍的 Azure Blob 存儲(chǔ)端點(diǎn)的出站網(wǎng)絡(luò)流量,以及對(duì)關(guān)鍵服務(wù)器上的文件復(fù)制或訪問中的異常模式設(shè)置警報(bào)。

如果企業(yè)已經(jīng)使用 Azure,建議選中“退出時(shí)注銷”選項(xiàng)以在退出應(yīng)用程序時(shí)自動(dòng)注銷,防止攻擊者使用活動(dòng)會(huì)話進(jìn)行文件竊取。