Azure LoLBins: 仮想マシン拡張機能の二重使用からの保護

Azure Defender for Resource Managerは、Azure portal、Azure REST API、Azure CLI、またはその他の Azure プログラム クライアントを介して実行されているかどうかにかかわらず、組織内のリソース管理操作を自動的に監視することにより、独自の保護を提供します。このブログでは、「Living off the land Binaries」(LoLBins) によって引き起こされる脅威について検討します。

「Living off the land」、つまり略して LoL という用語は、組み込みのユーティリティを利用して攻撃を実行する攻撃者を表すために使用されます。通常、LoLBin は、正当な目的で通常使用されるプリインストールされた Windows または Linux バイナリ ツールを指しますが、侵害されたリソースでは、攻撃者によって利用される可能性があります。この戦術は、これらのツールの二重の用途を区別しようとする防御者に挑戦します。

LoLBin の使用は頻繁に見られ、ほとんどがファイルレス攻撃と組み合わされており、侵害されたプロセスのメモリ内に攻撃者のペイロードが密かに存続し、さまざまな悪意のあるアクティビティを実行します。正当な LoLBin の使用と合わせて、攻撃者の活動が検出されない可能性が高くなります。

攻撃者は、検出を回避するために、よりステルスな方法をますます採用しています。さまざまなキャンペーンの証拠が目撃されています。このような攻撃がどのように展開されるかの詳細な概要と、Windows での悪意のある LoLBin のアクティビティを検出する方法に関する推奨事項をご覧ください。

Azure LoLBin

LoLBin の概念は、従来のオペレーティング システムに限定されません。この投稿では、さまざまな種類のAzure コンピューティング仮想マシン拡張機能について説明します。これは、Azure Virtual Machines でデプロイ後の構成と自動化タスクを提供する小さなアプリケーションです。たとえば、仮想マシンにソフトウェアのインストール、ウイルス対策保護、または仮想マシン内でのスクリプトの実行が必要な場合は、仮想マシン (VM) 拡張機能を使用できます。

カスタム スクリプト拡張機能は、Azure 仮想マシンでスクリプトをダウンロードして実行します。Windows 用のマルウェア対策拡張機能は、さまざまな構成の種類をワープして Windows Defender に適用します。VMAccess 拡張機能は、管理ユーザー、SSH キーを管理し、管理者パスワードのリセットなどの回復機能を有効にします。仮想マシン (VM)。

これらの拡張機能はすべて、Azure フリートを調整するためにやってくる何千人もの管理者にサービスを提供しています。ただし、攻撃者がサブスクリプション内で特定の役割を引き受ける場合、これらの Azure 組み込み機能は、ネットワーク防御線をバイパスするのに役立ちます。そのため、Azure LoLBins と名付けました。

それはどのように機能しますか?

Azure Marketplace のすべてのイメージには、Azure ゲスト エージェント (VM エージェント) が埋め込まれています。ゲスト エージェントは、VM と Azure ファブリック コントローラーとのやり取りを管理する、安全で軽量なプロセスです。 VM エージェントには、Azure 仮想マシン拡張機能を有効にして実行する主要な役割があります。 Azure VM エージェントがないと、VM 拡張機能を実行できません。

ゲスト エージェントは、VM 拡張機能の操作の管理 (インストール、ステータスの報告、個々の拡張機能の更新、削除など) を担当します。拡張機能パッケージは、Azure ファブリックとの通信 (168.63.129.16 へのチャネル経由) を通じて、ゲスト エージェントによって Azure ストレージ拡張リポジトリからダウンロードされます。

タスクを実行するために、ゲスト エージェントはローカル システムを実行します。その結果、カスタム スクリプト拡張機能や実行コマンドなどの拡張機能のペイロードは、ローカル コンピューターに対する広範な特権を持つ Azure Virtual Machines で実行されます。

影響

このセクションでは、VM 拡張機能の例外性と潜在的な強みを示す、最近目撃されたいくつかの動作を調べて、特定の Azure IAM ロールを作成し、それらを攻撃者にとって有利なターゲットと呼ぶ権利を含めます。

ケース 1: カスタム スクリプト拡張

カスタム スクリプト拡張機能は、Azure 仮想マシンでスクリプトをダウンロードして実行します。この拡張機能は、展開後の構成、ソフトウェアのインストール、またはその他の構成や管理タスクに役立ちます。スクリプトは、Azure Storage または GitHub からダウンロードするか、拡張機能の実行時に Azure portal に提供できます。カスタム スクリプト拡張機能は、Azure CLI、PowerShell、Azure portal、または Azure 仮想マシン REST API を使用して実行できます。

カスタム スクリプト拡張機能の使用は、同じ GitHub リポジトリから実行可能ファイルを取得するために、さまざまな顧客にまたがって見られました。痕跡をたどって GitHub にアクセスしたところ、問題のリポジトリが公開されていることがわかり、疑惑を確認することができました。実行されたペイロード ( hack1.sh、以下のスニペットを参照)内のコードの目的は、暗号通貨をマイニングすることです。

ケース 1 を示す例: カスタム スクリプト拡張

この動作は、著しく短い期間内にさまざまな国の複数の顧客で観察されました。また、GitHub リポジトリが非アクティブであることも相まって、このアクティビティが通常の侵入テスト、レッドチーム、または意図されたアクティビティに関連付けられるべきではないという疑念が高まりました。

ケース 2: VMAccess 拡張機能

VMAccess 拡張機能は、新しい管理者アカウントの作成、既存の管理者アカウントのパスワードのリセット、組み込みの管理者アカウントのリセット、またはリモート デスクトップ サービス構成のリセットを行うことができます。さらに、Linux VM の場合、拡張機能は SSH 公開キーをリセットできます。さらに、VMAccess 拡張機能は、他の拡張機能と同様に、Azure portal、Azure CLI、Powershell、または Azure 仮想マシン REST API を介して実行できます。

VM アクセスは、VM を管理する際に非常に役立ちます。たとえば、Linux サーバーの場合、代わりに VM に接続し、同等のコマンドを手動で実行できます。したがって、Azure ポータルからアクセスできる簡素化されたユーザー インターフェイス (UI) により、最もアクセスしやすい拡張機能の 1 つです。

VMAccess 拡張機能は、攻撃者が昇格された特権で VM への初期アクセスを取得するための便利な方法であることは間違いありません。このような悪名高い拡張機能の使用法は、気づきにくい場合があります。たとえば、VM Access を利用して共通サービス ユーザーを作成したり、既存のユーザーを変更したりします。

ケース 2 を示す例: VMAccess 拡張機能

ケース 3: マルウェア対策拡張機能

Azure 用のMicrosoft Antimalware Extensionは、ウイルス、スパイウェア、およびその他の悪意のあるソフトウェアを特定して削除するのに役立つ無料のリアルタイム保護機能であり、既知の悪意のあるソフトウェアまたは望ましくないソフトウェアが Azure システムにインストールまたは実行されようとしたときに構成可能なアラートを使用します。 Microsoft Azure 向けマルウェア対策は、人間の介入なしにバックグラウンドで実行するように設計された単一エージェント ソリューションです。

Microsoft Azure 向けマルウェア対策ソリューションには、Microsoft マルウェア対策クライアントとサービスが含まれており、Windows Defender が有効になっている Windows 環境で使用すると、拡張機能は Windows Defender で使用されるオプションの構成ポリシーを適用し、拡張機能は追加のマルウェア対策サービスを展開しません。

Windows 用の Microsoft Defender for Endpoint アラートとマルウェア対策拡張機能の使用を実験しているときに、ノードで発生したアラートとそれに続くAzure Resource Managerへの API 呼び出しの間に相関関係があることに気付きました。これにより、VM 拡張機能が調整され、同じアラートによってトリガーされたペイロードが今後スキャンされないように、マルウェア対策拡張機能が構成されます。

マルウェア対策拡張機能を使用すると、攻撃者は疑わしいツールをノードにロードする前にリアルタイム保護を無効にしたり、特定のファイルやディレクトリを除外して悪意のあるアクティビティを行っている間に気付かれないようにすることもできます。 Azure Resource Manager のログがノード内のテレメトリとの相関関係でめったにクロスされないという利点を享受しています。

ケース 3 を示す例: マルウェア対策拡張機能

もっと詳しく知る

Microsoft は、クラウドがもたらす新しい脅威への露出を最小限に抑えるために、検出と緩和の戦略を実装することをお勧めします。 Azure Defender は、多層保護計画を定義および構築するために、攻撃手法を詳細に分析します。

検出

Azure Defender は、その脅威検出機能を拡張し、最近Azure Defender for Resource Manager を導入しました。これは、Azure のデプロイおよび管理サービスの新しいカバレッジです。 management.azure.com上の Azure Resource Manager エンドポイントへのすべての要求がログに記録されて分析され、悪意と脅威が明らかになります。

Azure Defender for Resource Manager は、Azure portal、Azure REST API、Azure CLI、またはその他の Azure プログラム クライアントを介して組織内で実行されるすべてのリソース管理操作を監視します。 Azure Defender は高度なセキュリティ分析を実行して、脅威を検出し、疑わしいアクティビティが発生したときに警告します。 Azure Defender for Resource Manager アラートの一覧については、 アラートの参照表を参照してください。

緩和

最小権限の原則は、クラウド環境における基本的な概念です。正当な操作を実行するために必要な最小限のアクセスが、すべての ID タイプ (人または人以外) に付与されるようにします。クラウドの最小特権モデルは、アクセス制御を継続的に調整する機能に依存しています。すべてのアクセス イベントを監視し、正当なアクセス許可と過剰なアクセス許可を区別する意思決定フレームワークを確立することをお勧めします。

今日から無料で始めましょう

数回クリックするだけで Azure 環境全体を保護し、Azure Defender for Resource Manager を有効にします。このオファーは、プレビュー期間中は無料です。 今すぐ Azure Defender をオンにします。

マイクロソフト セキュリティ ソリューションと統合脅威保護ソリューションの詳細については、当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2021/03/09/azure-lolbins-protecting-against-the-dual-use-of-virtual-machine-extensions/

コメント

タイトルとURLをコピーしました