Azure

BianLianやRhysidaのようなランサムウェアギャングは、侵入したネットワークからデータを盗み出し、Azure Blobストレージに保存するために、MicrosoftのAzure Storage ExplorerとAzCopyを使用することが増えている。

Storage ExplorerはMicrosoft AzureのGUI管理ツールで、AzCopyはAzureストレージとの間で大規模なデータ転送を行うためのコマンドラインツールだ。

サイバーセキュリティ企業modePUSHが観測した攻撃では、窃取されたデータはクラウド上のAzure Blobコンテナに保存され、後に脅威行為者によって自身のストレージに転送される。

The Azure Storage Explorer interface
Azure Storage Explorerのインターフェース
出典:modePUSH

しかし研究者は、攻撃者がAzure Storage Explorerを動作させるためには、依存関係のインストールや.NETのバージョン8へのアップグレードなど、余分な作業を行わなければならなかったと指摘している。

これは、ランサムウェアの操作においてデータの盗難にますます焦点が当てられていることを示しており、これは、その後の恐喝の段階において、脅威行為者にとって主な影響力となっている。

なぜAzureなのか?

ランサムウェア集団はそれぞれ独自の流出ツールセットを持っていますが、ランサムウェア集団は一般的に、様々なクラウドプロバイダーとファイルを同期するためにRcloneを使用し、MEGAクラウドと同期するためにMEGAsyncを使用します。

Azureは、企業でよく使用される信頼性の高いエンタープライズグレードのサービスであるため、企業のファイアウォールやセキュリティツールによってブロックされる可能性は低い。そのため、Azureを介したデータ転送の試みは、検知されずに通過する可能性が高い。

さらに、大量の非構造化データを処理できるAzureのスケーラビリティとパフォーマンスは、攻撃者が可能な限り短時間で大量のファイルを流出させようとする場合に非常に有益である。

modePUSHによると、ランサムウェアの攻撃者は、Azure Storage Explorerの複数のインスタンスを使用してファイルをブロブコンテナにアップロードし、プロセスを可能な限り高速化していることが確認されたという。

ランサムウェアの流出の検出

研究者は、脅威行為者がStorage ExplorerとAzCopyを使用する際にデフォルトの「Info」レベルのロギングを有効にしており、%USERPROFILE%appache.azcopyにログファイルを作成していることを発見した。

このログファイルには、ファイル操作に関する情報が含まれているため、インシデント対応者にとって特に価値があり、調査者は、どのデータが盗まれたのか(UPLOADSUCCESSFUL)、またどのような他のペイロードが導入された可能性があるのか(DOWNLOADSUCCESSFUL)を迅速に判断することができます。

Succesful data transfer log
成功したデータ転送ログ
出典:modePUSH

防御策としては、AzCopyの実行、「.blob.core.windows.net」またはAzure IPレンジにあるAzure Blob Storageエンドポイントへのアウトバウンドネットワークトラフィックの監視、重要なサーバーでのファイルコピーやアクセスの異常なパターンに対するアラームの設定などがあります。

Azure がすでに組織で使用されている場合は、攻撃者がアクティブなセッションを使用してファイルを窃取するのを防ぐため、アプリケーションの終了時に自動的にサインアウトする「終了時にログアウト」オプションをチェックすることをお勧めします。