BianLian 和 Rhysida 等勒索軟件團(tuán)伙越來越多地使用 Microsoft 的 Azure 存儲(chǔ)資源管理器和 AzCopy 從受感染的網(wǎng)絡(luò)竊取數(shù)據(jù)并將其存儲(chǔ)在 Azure Blob 存儲(chǔ)中。

Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一個(gè)命令行工具，可以促進(jìn)與 Azure 存儲(chǔ)之間的大規(guī)模數(shù)據(jù)傳輸。在網(wǎng)絡(luò)安全公司 modePUSH 觀察到的攻擊中，被盜數(shù)據(jù)隨后被存儲(chǔ)在云中的 Azure Blob 容器中，威脅分子隨后可以將其傳輸?shù)剿麄冏约旱拇鎯?chǔ)中。

然而，研究人員指出，攻擊者必須進(jìn)行額外操作才能使 Azure 存儲(chǔ)資源管理器正常工作，包括安裝依賴項(xiàng)和將 .NET 升級(jí)到版本 8。此舉也表明勒索軟件操作越來越關(guān)注數(shù)據(jù)盜竊，這是威脅分子在隨后的勒索階段的主要手段。

為什么選擇 Azure

雖然每個(gè)勒索軟件團(tuán)伙都有自己的一套泄露工具，但勒索軟件團(tuán)伙通常使用 Rclone 與各種云提供商同步文件，并使用 MEGAsync 與 MEGA 云同步。

Azure 是企業(yè)經(jīng)常使用的受信任的企業(yè)級(jí)服務(wù)，不太可能被企業(yè)防火墻和安全工具阻止。因此，通過它進(jìn)行的數(shù)據(jù)傳輸嘗試更有可能順利通過且不被發(fā)現(xiàn)。

此外，Azure 的可擴(kuò)展性和性能使其能夠處理大量非結(jié)構(gòu)化數(shù)據(jù)，當(dāng)攻擊者試圖在最短的時(shí)間內(nèi)竊取大量文件時(shí)，這一點(diǎn)非常有益。

modePUSH 表示，它觀察到勒索軟件參與者使用多個(gè) Azure 存儲(chǔ)資源管理器實(shí)例將文件上傳到 blob 容器，從而盡可能加快這一過程。

檢測(cè)勒索軟件泄露

研究人員發(fā)現(xiàn)，威脅分子在使用存儲(chǔ)資源管理器和 AzCopy 時(shí)啟用了默認(rèn)的“信息”級(jí)別日志記錄，這會(huì)在 %USERPROFILE%\.azcopy 處創(chuàng)建一個(gè)日志文件。

該日志文件對(duì)于事件響應(yīng)人員特別有價(jià)值，因?yàn)樗嘘P(guān)文件操作的信息，使調(diào)查人員能夠快速確定哪些數(shù)據(jù)被盜（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效載荷（DOWNLOADSUCCESSFUL）。

防御措施包括監(jiān)控 AzCopy 執(zhí)行情況、到“.blob.core.windows.net”或 Azure IP 范圍的 Azure Blob 存儲(chǔ)端點(diǎn)的出站網(wǎng)絡(luò)流量，以及對(duì)關(guān)鍵服務(wù)器上的文件復(fù)制或訪問中的異常模式設(shè)置警報(bào)。

如果企業(yè)已經(jīng)使用 Azure，建議選中“退出時(shí)注銷”選項(xiàng)以在退出應(yīng)用程序時(shí)自動(dòng)注銷，防止攻擊者使用活動(dòng)會(huì)話進(jìn)行文件竊取。