A Storage Explorer a Microsoft Azure GUI menedzsment eszköze, míg az AzCopy egy command-line eszköz, amely megkönnyíti a nagy mennyiségű adatátvitelt az Azure Storage használata során.
A modePUSH kiberbiztonsággal foglalkozó cég által megfigyelt támadások során a támadók az ellopott adatokat a felhőben, az Azure Blob-ban tárolják. Majd később átrakják őket a saját tárhelyükre.
De miért pont az Azure?
Az adatátviteli kísérletek nagyobb valószínűséggel mennek át rajta észrevétlenül, mivel ez egy olyan megbízható szolgáltatás, amelyet gyakran használnak a vállalatok. Ezáltal csekély a valószínűsége, hogy a vállalati tűzfalak és biztonsági eszközök blokkolják. Emellett lehetővé teszi a nagy mennyiségű strukturálatlan adatkezelést, ami rendkívül előnyös, ha a támadók a lehető legrövidebb idő alatt nagyszámú fájlt próbálnak meg kiszivárogtatni.
A ransomware exfiltration észlelése
A kutatók úgy vélik, hogy a támadók engedélyezték az alapértelmezett “Info” szintű naplózást a Storage Explorer és az AzCopy használata során, amely naplófájlt hoz létre a %USERPROFILE%\[.]azcopy címen. Ez olyan információkat tartalmaz a fájlműveletekről, amellyel gyorsan meghatározható, hogy milyen adatokat loptak el (UPLOADSIKERES) és potenciálisan milyen egyéb hasznos adatokat töltöttek le (DOWNLOADSUCCESSFUL).
A védelmi intézkedések közé tartozik az AzCopy végrehajtásának monitorozása, a kimenő hálózati forgalom figyelése az Azure Blob Storage végpontokon “[.]blob[.]core[.]windows[.]net” vagy Azure IP tartományban. Valamint riasztások beállítása riasztások beállítása a szokatlan mintákra, a fájlmásolás vagy a kritikus szervereken való hozzáférés során.
Továbbá a használat során érdemes bejelölni a “Logout on Exit” opciót, hogy az alkalmazásból való kilépés során automatikusan kijelentkezzen a felhasználó. Ezzel megakadályozható, hogy a támadók az aktív munkamenetet fájllopásra használják.
(Forrás: NKI | Kép: Microsoft Köln, RheinauArtOffice, Rheinauhafen Köln)
