关于BianLian 和 Rhysida 使用 Azure 进行勒索软件攻击的分析

　　Azure是微软提供的云计算平台，旨在帮助企业和开发人员构建、部署和管理应用程序和服务。Azure包括各种云服务，如计算、存储、数据库、分析和人工智能等，可以通过全球范围内的数据中心进行全天候访问。

　　一、基本内容

　　modePUSH 的安全专家最近发现，BianLian 和 Rhysida 等勒索软件组织正在积极使用 Microsoft Azure Storage Explorer 和 AzCopy 等工具从受感染的网络中窃取数据并将其存储在 Azure Blob 云存储中。

　　存储资源管理器是 Azure 的图形管理工具，而 AzCopy 是用于将数据大规模传输到云的命令行实用程序。使用这些工具，犯罪分子将被盗数据上传到 Azure Blob 容器，然后可以轻松地将其传输到其他存储位置。

　　modePUSH 专家指出，为了使用 Azure 存储资源管理器，攻击者必须安装额外的依赖项并将 .NET 升级到版本 8。这凸显了勒索软件操作中对数据盗窃的日益重视，其中被盗信息成为后续勒索阶段的主要杠杆。

　　虽然每个勒索软件组织都使用自己的工具进行数据泄露，但 Azure 因其作为企业服务的声誉而对网络犯罪分子特别有吸引力。由于它被许多公司广泛使用，因此其流量不太可能被公司防火墙和安全系统阻止，从而大大简化了数据传输过程。

　　此外，Azure 的可扩展性和性能非常有利，尤其是在需要快速传输大量文件时。modePUSH 专家还观察到，犯罪分子同时利用 Azure Storage Explorer 的多个实例来加快将数据上传到 Blob 容器的速度。

　　研究人员发现，在使用 AzCopy 和存储资源管理器时，攻击者会启用默认日志记录级别“Info”，该级别将操作详细信息记录在日志文件中。此文件可以帮助事件响应专家快速确定哪些数据被盗以及哪些文件可能已上传到受害者的设备。

　　为了防范此类威胁，建议监视 AzCopy 执行情况，跟踪到 Azure Blob 存储终结点的出站流量，并为涉及关键服务器上的文件复制或访问的异常活动设置警报。已在使用 Azure 的组织应在关闭应用程序后启用自动注销选项，以防止攻击者利用活动会话窃取数据。

　　二、分析研判

　　这篇文章提供了有关网络犯罪分子如何利用Azure Storage Explorer和AzCopy等工具从受感染的网络中窃取数据并将其存储在Azure Blob 云存储中的信息。该文还指出，攻击者使用 Azure 存储资源管理器和 AzCopy 工具需要安装额外的依赖项并将 .NET 升级到版本 8，表明勒索软件组织对于数据盗窃的重视程度逐渐增强。

　　与传统的网络犯罪分子不同，这些黑客组织使用Azure作为数据存储位置有很多优势。Azure作为企业服务的声誉很好，大多数公司都广泛使用它。此外，Azure的可扩展性和性能非常有利，尤其是在需要快速传输大量文件时。因此，这些黑客组织可以使用Azure轻松地将被盗的数据上传到Blob容器，并将其传输到其他存储位置，同时大大简化了数据传输过程。

　　建议监视AzCopy执行情况，跟踪到Azure Blob存储终结点的出站流量，并为涉及关键服务器上的文件复制或访问的异常活动设置警报。此外，已在使用Azure的组织应在关闭应用程序后启用自动注销选项，以防止攻击者利用活动会话窃取数据。

　　三、应对策略

　　监测和跟踪：监测AzCopy执行情况并跟踪到Azure Blob存储终结点的出站流量，以及为涉及关键服务器上的文件复制或访问的异常活动设置警报。

　　加强安全性：加强组织的安全性，确保所有软件都有最新的补丁，使用强密码和多因素身份验证，并为敏感数据实施额外的安全控制。

　　应用程序注销：启用自动注销选项，以防止攻击者利用活动会话来窃取数据。

　　完善日志记录：完善日志记录，尤其是操作详细信息，以便事件响应专家快速确定哪些数据被盗以及哪些文件可能已上传到受害者设备。