Storm-0501威胁组织利用云技术实施勒索攻击的技术分析

本文详细分析了Storm-0501威胁组织如何通过演进技术手段,从传统本地勒索软件转向基于云的勒索攻击。文章揭示了攻击者如何利用混合云环境中的安全漏洞,通过权限提升、数据窃取和资源销毁等云原生技术实施勒索,并提供了全面的防护建议和检测指南。

Storm-0501不断演进的技术导致基于云的勒索攻击

微软威胁情报部门观察到出于经济动机的威胁行为者Storm-0501不断演进其攻击活动,将重点放在基于云的战术、技术和程序(TTPs)上。虽然该威胁行为者以针对混合云环境而闻名,但其主要目标已从部署本地端点勒索软件转向使用基于云的勒索软件战术。

与传统本地勒索软件(威胁行为者通常部署恶意软件来加密受损网络中各端点的关键文件,然后协商解密密钥)不同,基于云的勒索软件带来了根本性转变。Storm-0501利用云原生功能,快速窃取大量数据,销毁受害者环境中的数据和备份,并索要赎金——所有这些都不依赖于传统的恶意软件部署。

攻击链概述

本地入侵并转向云环境

在最近的攻击活动中,Storm-0501入侵了一家由多个子公司组成的大型企业,每个子公司都运行自己的Active Directory域。这些域通过域信任关系互连,实现跨域身份验证和资源访问。

云环境反映了这种复杂性。不同的子公司维护独立的Microsoft Azure租户,具有不同的Microsoft Defender产品覆盖范围。值得注意的是,只有一个租户部署了Microsoft Defender for Endpoint,并且来自多个Active Directory域的设备被载入到该单一租户的许可证中。这种分散的部署在整个环境中造成了可见性差距。

身份升级

通过利用本地控制权在Active Directory域之间横向移动并广泛枚举云资源,威胁行为者获得了对组织安全态势的关键可见性。他们随后识别出一个非人类同步身份,该身份在Microsoft Entra ID中被分配了全局管理员角色。此外,该帐户缺少任何已注册的MFA方法。

威胁行为者能够重置用户的本地密码,该密码随后通过Entra Connect Sync服务合法同步到该用户的云身份。由于没有为该用户注册MFA,成功使用新分配密码进行身份验证后,威胁行为者被重定向以在其控制下注册新的MFA方法。

云身份和云环境入侵

云持久化

成功以全局管理员身份验证到租户后,Storm-0501立即建立了持久化机制。该威胁行为者创建了一个后门,使用恶意添加的联合域,使他们能够以几乎任何用户身份登录。

Azure初始访问和权限提升

由于Storm-0501获得了顶级Entra ID权限,他们可以继续实现其最终目标,即使用基于云的勒索软件战术获取金钱利益。他们通过调用Microsoft.Authorization/elevateAccess/action操作将访问权限提升到Azure资源,获得了对所有组织Azure订阅的用户访问管理员Azure角色。

数据窃取和销毁

发现和防御规避

威胁行为者使用AzureHound等工具发起全面发现阶段,定位组织的关键资产。他们利用Azure Storage中的公共访问功能,将无法远程访问的帐户暴露给互联网和他们自己的基础设施。

数据窃取和影响

完成窃取阶段后,Storm-0501开始大规模删除包含受害者组织数据的Azure资源,阻止受害者通过恢复数据采取补救和缓解措施。他们滥用以下Azure操作针对多个Azure资源提供者:

  • Microsoft.Compute/snapshots/delete - 删除Azure快照
  • Microsoft.Compute/restorePointCollections/delete - 删除Azure VM恢复点
  • Microsoft.Storage/storageAccounts/delete - 删除Azure存储帐户
  • Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/delete - 删除Azure恢复服务保管库保护容器

防护和缓解指南

保护本地环境

  • 启用防篡改保护功能
  • 在阻止模式下运行端点检测和响应(EDR)
  • 启用全面自动化的调查和修复

保护云身份

  • 通过凭证卫生保护帐户
  • 启用条件访问策略
  • 确保所有用户都需要多因素认证(MFA)
  • 确保全局管理员帐户使用独立的用户帐户和邮件转发

保护云资源

  • 使用Microsoft Defender for Cloud等解决方案
  • 启用Microsoft Defender for Resource Manager
  • 利用Azure Monitor活动日志
  • 为Azure Storage实施Azure策略

Microsoft Defender XDR检测

Microsoft Defender XDR客户可以参考适用的检测列表。Microsoft Defender XDR跨端点、身份、电子邮件、应用程序协调检测、预防、调查和响应,提供针对此类威胁的集成保护。

狩猎查询

Microsoft Defender XDR客户可以运行以下查询在其网络中查找相关活动:

登录活动

1
2
3

IdentityLogonEvents
| where Timestamp > ago(30d)
| where AccountDisplayName contains "On-Premises Directory Synchronization Service Account"

云活动

1
2
3

CloudAppEvents
| where Timestamp > ago(30d)
| where AccountDisplayName has "On-Premises Directory Synchronization Service Account"

Azure管理事件

1
2
3
4
5
6
7
8
9

let Storm0501Operations = dynamic([
    "Microsoft.Authorization/elevateAccess/action",
    "Microsoft.Authorization/roleAssignments/write",
    // ... 其他操作
]);
CloudAuditEvents
| where Timestamp > ago(30d)
| where AuditSource == "Azure" and DataSource == "Azure Logs"
| where OperationName in~ (Storm0501Operations)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次