BianLian 和 Rhysida 等勒索軟件團伙越來越多地使用 Microsoft 的 Azure 存儲資源管理器和 AzCopy 從受感染的網(wǎng)絡(luò)竊取數(shù)據(jù)并將其存儲在 Azure Blob 存儲中。

Storage Explorer 是 Microsoft Azure 的 GUI 管理工具，而 AzCopy 是一個命令行工具，可以促進與 Azure 存儲之間的大規(guī)模數(shù)據(jù)傳輸。在網(wǎng)絡(luò)安全公司 modePUSH 觀察到的攻擊中，被盜數(shù)據(jù)隨后被存儲在云中的 Azure Blob 容器中，威脅分子隨后可以將其傳輸?shù)剿麄冏约旱拇鎯χ小?/p>

然而，研究人員指出，攻擊者必須進行額外操作才能使 Azure 存儲資源管理器正常工作，包括安裝依賴項和將 .NET 升級到版本 8。此舉也表明勒索軟件操作越來越關(guān)注數(shù)據(jù)盜竊，這是威脅分子在隨后的勒索階段的主要手段。

為什么選擇 Azure

雖然每個勒索軟件團伙都有自己的一套泄露工具，但勒索軟件團伙通常使用 Rclone 與各種云提供商同步文件，并使用 MEGAsync 與 MEGA 云同步。

Azure 是企業(yè)經(jīng)常使用的受信任的企業(yè)級服務(wù)，不太可能被企業(yè)防火墻和安全工具阻止。因此，通過它進行的數(shù)據(jù)傳輸嘗試更有可能順利通過且不被發(fā)現(xiàn)。

此外，Azure 的可擴展性和性能使其能夠處理大量非結(jié)構(gòu)化數(shù)據(jù)，當(dāng)攻擊者試圖在最短的時間內(nèi)竊取大量文件時，這一點非常有益。

modePUSH 表示，它觀察到勒索軟件參與者使用多個 Azure 存儲資源管理器實例將文件上傳到 blob 容器，從而盡可能加快這一過程。

檢測勒索軟件泄露

研究人員發(fā)現(xiàn)，威脅分子在使用存儲資源管理器和 AzCopy 時啟用了默認(rèn)的“信息”級別日志記錄，這會在 %USERPROFILE%\.azcopy 處創(chuàng)建一個日志文件。

該日志文件對于事件響應(yīng)人員特別有價值，因為它包含有關(guān)文件操作的信息，使調(diào)查人員能夠快速確定哪些數(shù)據(jù)被盜（UPLOADSUCCESSFUL）以及可能引入了哪些其他有效載荷（DOWNLOADSUCCESSFUL）。

防御措施包括監(jiān)控 AzCopy 執(zhí)行情況、到“.blob.core.windows.net”或 Azure IP 范圍的 Azure Blob 存儲端點的出站網(wǎng)絡(luò)流量，以及對關(guān)鍵服務(wù)器上的文件復(fù)制或訪問中的異常模式設(shè)置警報。

如果企業(yè)已經(jīng)使用 Azure，建議選中“退出時注銷”選項以在退出應(yīng)用程序時自動注銷，防止攻擊者使用活動會話進行文件竊取。