Storm-0501威胁组织利用云技术实施勒索攻击的技术分析
攻击技术演进
微软威胁情报观察到经济动机威胁组织Storm-0501持续演进其攻击活动,重点发展基于云的战术、技术和程序(TTPs)。该威胁组织从部署本地端点勒索软件转向使用基于云的勒索技术。
与传统本地勒索软件不同,Storm-0501利用云原生能力快速窃取大量数据,破坏受害者环境中的数据和备份,然后要求赎金,所有这些都不依赖传统恶意软件部署。
攻击链分析
本地环境入侵与云环境渗透
Storm-0501首先通过域管理员权限入侵本地Active Directory环境,然后利用Entra Connect Sync目录同步账户(DSA)枚举用户、角色和Azure资源。攻击者使用AzureHound工具映射Azure环境中的关系和权限。
身份权限提升
攻击者识别出分配给Microsoft Entra ID全局管理员角色的非人类同步身份,该账户缺少多因素认证(MFA)注册。通过重置用户的本地密码,利用Entra Connect Sync服务将新密码同步到云身份,成功通过MFA注册绕过条件访问策略。
云持久化与数据破坏
获得全局管理员权限后,Storm-0501立即建立持久化机制,通过恶意添加联合域创建后门。攻击者滥用Azure操作进行大规模数据破坏:
- 使用
Microsoft.Storage/storageAccounts/delete删除Azure存储账户 - 使用
Microsoft.Compute/snapshots/delete删除Azure快照 - 使用
Microsoft.Authorization/locks/delete删除Azure资源锁 - 创建新的Azure Key Vault和客户管理密钥进行云加密
防护建议
本地环境防护
- 启用防篡改保护功能
- 在阻止模式下运行端点检测和响应(EDR)
- 启用全面自动化的调查和修复
云身份保护
- 实施最小权限原则
- 启用条件访问策略
- 要求所有用户使用多因素认证
- 确保全局管理员账户使用独立的用户账户
云资源保护
- 使用Microsoft Defender for Cloud保护云资源
- 启用Microsoft Defender for Resource Manager
- 实施Azure Blob存储安全建议
- 启用Azure Key Vault的清除保护
检测指南
Microsoft Defender XDR提供全面的检测覆盖,包括:
- 可疑登录活动检测
- Azure管理操作监控
- 存储账户异常访问检测
- 密钥保管库可疑活动识别
高级狩猎查询
提供针对目录同步账户活动、Azure管理事件和关键资产暴露的详细查询语句,帮助组织主动检测相关威胁活动。
通过实施这些防护措施和利用提供的检测能力,组织可以有效防御Storm-0501的混合云攻击策略。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
