ランサムウェアオペレーターは、マイクロソフトの信頼されているAzure データ転送ユーティリティであるAzCopyを悪用して、暗号化前に機密データを静かに流出させることが増えており、通常のクラウド移行ツールを密かなデータ窃盗チャネルに変えています。
脅威アクターは、RcloneやMegaSyncのような明らかに悪意のあるツールに依存する代わりに、ネイティブで管理者承認のクラウドユーティリティにピボットして、通常のIT運用に溶け込み、従来の検出を回避しています。
AzCopyは、Azure Storage との間で大量のデータを移動するように設計されたコマンドラインユーティリティであり、企業がバックアップ、移行、大規模データ操作に一般的に使用しています。
スタンドアロン実行ファイルとして配布されており、企業環境で広く信頼されており、EDRソリューションによってめったにブロックされたり厳密に監視されたりしません。これは「living-off-the-land」スタイルの流出に魅力的です。
BianLianやRhysidaなどのランサムウェアグループは、AzCopyとAzure Storage Explorerを使用して、侵害されたネットワークから盗まれたファイルを攻撃者が制御するAzure Blob ストレージにバルクアップロードしていることが観察されており、マイクロソフトのクラウドを流出ステージングエリアとして扱っています。
Varonis Threat Labs フォレンジックユニットは、信頼されたAzureユーティリティであるAzCopyをデータ流出ツールとして使用しているランサムウェアオペレーターを発見しました。
攻撃者は通常、有効なAzure認証情報またはストレージキーを取得し、その後Shared Access Signature(SAS)トークンを生成して、インタラクティブログインなしでストレージアカウントにアクセスします。
サイバー攻撃におけるAzCopyの新しい役割
SAS URLは、必要なすべての権限、時間ウィンドウ、およびターゲットコンテナを効果的に埋め込み、単一のAzCopyコマンドで大規模なデータセットを外部のblobコンテナに直接ストリーミングすることができます。
ネットワークスパイクアラートのトリガーを避けるために、攻撃者は–cap-mbpsフラグを使用して意図的に転送スループットをスロットルダウンし、トラフィック量を安定に保ち、監視ダッシュボード上で疑わしさを減らすことができます。
また、–include-afterに似たinclude/excludeパターンと時間ベースのフィルターを使用してコピーするファイルを制限し、最近の高価値ドキュメントに焦点を当てながらノイズを最小化することができます。
このテクニックが特に危険な理由は、宛先が完全に合法的なクラウドプロバイダーであり、チャネルが*.blob.core.windows.netなどのドメインへの標準HTTPSであり、ファイアウォールとプロキシを通じて広く許可されていることです。
実際のインシデントでは、AzCopy駆動型の流出がエンドポイントセキュリティツールで完全に検出されず、専門のデータセキュリティプラットフォームとフォレンジック分析に任せて、何が盗まれたのかを再構築することになりました。
Azureログが有効になっている場合でも、脅威アクターは転送完了後にローカルの%USERPROFILE%\.azcopyログディレクトリを削除することで、調査者にとって重要な証拠ソースを削除し、足跡をカバーしようとする可能性があります。
疑わしいサードパーティ流出ツールに焦点を当てた従来の検出戦略は、攻撃者がネイティブクラウドユーティリティと認可された管理者ワークフローを採用する場合のブラインドスポットを残しています。
セキュリティチームは、バックアップまたはサービスアカウントで実行されている午前3時のAzCopyジョブが突然通常より大幅に多くのデータにアクセスするなど、「奇妙だが正当な」シナリオを調査する準備ができていなければなりません。
データ中心のセキュリティ戦略が不可欠です。組織は、機密データがどこに存在するのか、誰がそれにアクセスできるのか、正常なアクセスおよび移動パターンがどのようなものであるかをマップし、レポートアカウントが突然数十万ファイルを読み取るなどの逸脱が高忠実度アラートを生成するようにする必要があります。
AzCopyを利用するランサムウェアキャンペーン
ユーザーとエンティティ行動分析(UEBA)は、サービスまたは特権アカウントによる異常なファイルアクセスとAzCopyの使用にフラグを付けることができ、暗号化開始前に侵害の初期兆候を明らかにします。
ネットワーク監視は、サーバーからの直接インターネットアクセスをよく知られている更新およびセキュリティエンドポイントのみに制限し、通常クラウドストレージと相互作用しないシステムからのAzure Blobエンドポイントへの接続は精査する必要があります。
アプリケーション制御ポリシーは、AzCopyが実行できる場所とどのアカウントの下で実行できるかを厳密にスコーピングすることで、リスクをさらに軽減し、特定の承認されたホストとサービスIDのみがユーティリティを実行できることを確保できます。
インシデント対応計画は、SASトークンを迅速に失効させる方法、キーをローテーションする方法、影響を受けたシステムを隔離する方法、およびクラウドプロバイダーとの削除または悪用レポートを調整する方法など、クラウドベースの流出シナリオに明示的に対処する必要があります。盗まれたデータが既に他の場所で複製またはバックアップされている可能性があることを受け入れています。
攻撃者がAzCopyのような合法的なクラウドツールをますます武装化するにつれて、独自の信頼されたユーティリティを監視できない組織は、セキュリティスタックが機密データをランサムウェアオペレーターの手に配信するトラフィックを「承認」するリスクを冒す可能性があります。
翻訳元: https://gbhackers.com/azcopy-utility-misused/
