เมนู

กลุ่มแรนซัมแวร์กำลังใช้เครื่องมือ Microsoft Azure เพื่อขโมยข้อมูล

วรเมธ บุญทศ | 18 กันยายน 2567

กลุ่มแรนซั่มแวร์อย่าง BianLian และ Rhysida กำลังใช้ Azure Storage Explorer และ AzCopy ของ Microsoft เพื่อขโมยข้อมูลจากเครือข่ายที่ถูกโจมตีและเก็บข้อมูลไว้ใน Azure Blob storage. Storage Explorer เป็นเครื่องมือจัดการ GUI สำหรับ Microsoft Azure ในขณะที่ AzCopy เป็นเครื่องมือคำสั่งที่สามารถอำนวยความสะดวกในการถ่ายโอนข้อมูลขนาดใหญ่จาก Azure storage

ในเหตุการณ์โจมตีที่สังเกตโดยบริษัทความปลอดภัยทางไซเบอร์ modePUSH ข้อมูลที่ถูกขโมยจะถูกเก็บไว้ใน Container Azure Blob ในคลาวด์ จากนั้นกลุ่มผู้โจมตีสามารถถ่ายโอนไปยังที่เก็บข้อมูลของตนเองได้

อย่างไรก็ตาม นักวิจัยพบว่าผู้โจมตีต้องใช้ความพยายามเพิ่มเติมเพื่อให้ Azure Storage Explorer ทำงานได้ ซึ่งรวมถึงการติดตั้งไลบารีที่ต้องการและอัปเกรด .NET เป็นเวอร์ชัน 8 ซึ่งเป็นสัญญาณบ่งชี้ถึงการมุ่งเน้นที่การขโมยข้อมูลมากขึ้นในกิจกรรมแรนซั่มแวร์

ทำไมต้อง Azure?

  • Azure เป็นช่องทางที่น่าเชื่อถือสำหรับการถ่ายโอนข้อมูล แม้ว่าแต่ละกลุ่มแรนซั่มแวร์จะมีชุดเครื่องมือการโจรกรรมข้อมูลของตนเอง แต่กลุ่มแรนซั่มแวร์มักใช้ Rclone สำหรับซิงค์ไฟล์กับผู้ให้บริการคลาวด์ต่างๆ และ MEGAsync สำหรับซิงค์กับ MEGA cloud
  • Azure เนื่องจากเป็นบริการระดับองค์กรที่เชื่อถือได้และมักถูกใช้โดยบริษัท จึงไม่น่าจะถูกบล็อกโดยไฟร์วอลล์และเครื่องมือความปลอดภัยขององค์กร ดังนั้น การถ่ายโอนข้อมูลผ่าน Azure จึงมีโอกาสผ่านไปได้โดยไม่ถูกตรวจพบ
  • นอกจากนี้ ความสามารถในการปรับขนาดและประสิทธิภาพของ Azure ทำให้สามารถจัดการข้อมูลจำนวนมากได้ ซึ่งเป็นประโยชน์อย่างมากเมื่อผู้โจมตีพยายามโจรกรรมไฟล์จำนวนมากในระยะเวลาอันสั้น
  • บริษัท modePUSH กล่าวว่าสังเกตเห็นผู้โจมตีแรนซั่มแวร์ใช้ Azure Storage Explorer หลายตัวในการอัปโหลดไฟล์ไปยังคอนเทนเนอร์ blob เพื่อเร่งขั้นตอนให้เร็วที่สุดเท่าที่จะทำได้

แนวทางการตรวจจับการขโมยข้อมูลของแรนซัมแวร์

นักวิจัยพบว่าผู้โจมตีเปิดใช้งานการบันทึกข้อมูล “Info” โดยใช้เป็นค่าเริ่มต้นเมื่อใช้ Storage Explorer และ AzCopy ซึ่งจะสร้างไฟล์บันทึกที่ %USERPROFILE%\.azcopy

ไฟล์บันทึกนี้มีคุณสมบัติสำหรับผู้ตอบสนองเหตุการณ์ เนื่องจากมีข้อมูลเกี่ยวกับการดำเนินการไฟล์ ทำให้ผู้ตรวจสอบสามารถระบุได้ว่าข้อมูลใดถูกขโมย (UPLOADSUCCESSFUL) และมีการนำ payloads อื่นใดเข้ามา (DOWNLOADSUCCESSFUL)

มีมาตรการป้องกันหลายประการที่องค์กรสามารถนำมาใช้เพื่อลดความเสี่ยงจากการโจรกรรมข้อมูลผ่าน Azure Storage Explorer และ AzCopy ดังนี้

การตรวจสอบ:

  • ตรวจสอบการทำงานของ AzCopy
  • ตรวจสอบปริมาณข้อมูลขาออกของเครือข่ายไปยังจุดปลายทาง Azure Blob Storage ที่ “.core.windows.net” หรือช่วง IP ของ Azure
  • ตั้งค่าการแจ้งเตือนสำหรับรูปแบบผิดปกติในการคัดลอกหรือเข้าถึงไฟล์บนเซิร์ฟเวอร์สำคัญ

การตั้งค่า Azure:

  • หากองค์กรใช้ Azure อยู่แล้ว แนะนำให้เลือกใช้งานฟังก์ชัน .Logout on Exit” เพื่อให้ผู้ใช้ถูกออกจากระบบโดยอัตโนมัติเมื่อปิดแอปพลิเคชัน ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีใช้เซสชันที่เปิดอยู่เพื่อขโมยไฟล์

ทำไมต้อง Azure?

  • Azure เป็นช่องทางที่น่าเชื่อถือสำหรับการถ่ายโอนข้อมูล แม้ว่าแต่ละกลุ่มแรนซั่มแวร์จะมีชุดเครื่องมือการโจรกรรมข้อมูลของตนเอง แต่กลุ่มแรนซั่มแวร์มักใช้ Rclone สำหรับซิงค์ไฟล์กับผู้ให้บริการคลาวด์ต่างๆ และ MEGAsync สำหรับซิงค์กับ MEGA cloud
  • Azure เนื่องจากเป็นบริการระดับองค์กรที่เชื่อถือได้และมักถูกใช้โดยบริษัท จึงไม่น่าจะถูกบล็อกโดยไฟร์วอลล์และเครื่องมือความปลอดภัยขององค์กร ดังนั้น การถ่ายโอนข้อมูลผ่าน Azure จึงมีโอกาสผ่านไปได้โดยไม่ถูกตรวจพบ
  • นอกจากนี้ ความสามารถในการปรับขนาดและประสิทธิภาพของ Azure ทำให้สามารถจัดการข้อมูลจำนวนมากได้ ซึ่งเป็นประโยชน์อย่างมากเมื่อผู้โจมตีพยายามโจรกรรมไฟล์จำนวนมากในระยะเวลาอันสั้น
  • บริษัท modePUSH กล่าวว่าสังเกตเห็นผู้โจมตีแรนซั่มแวร์ใช้ Azure Storage Explorer หลายตัวในการอัปโหลดไฟล์ไปยังคอนเทนเนอร์ blob เพื่อเร่งขั้นตอนให้เร็วที่สุดเท่าที่จะทำได้

แนวทางการตรวจจับการขโมยข้อมูลของแรนซัมแวร์

  • นักวิจัยพบว่าผู้โจมตีเปิดใช้งานการบันทึกข้อมูล “Info” โดยใช้เป็นค่าเริ่มต้นเมื่อใช้ Storage Explorer และ AzCopy ซึ่งจะสร้างไฟล์บันทึกที่%USERPROFILE%\.azcopy
  • ไฟล์บันทึกนี้มีคุณสมบัติสำหรับผู้ตอบสนองเหตุการณ์ เนื่องจากมีข้อมูลเกี่ยวกับการดำเนินการไฟล์ ทำให้ผู้ตรวจสอบสามารถระบุได้ว่าข้อมูลใดถูกขโมย (UPLOADSUCCESSFUL) และมีการนำ payloads อื่นใดเข้ามา (DOWNLOADSUCCESSFUL)
  • มีมาตรการป้องกันหลายประการที่องค์กรสามารถนำมาใช้เพื่อลดความเสี่ยงจากการโจรกรรมข้อมูลผ่าน Azure Storage Explorer และ AzCopy ดังนี้

การตรวจสอบ

  • ตรวจสอบการทำงานของ AzCopy
  • ตรวจสอบปริมาณข้อมูลขาออกของเครือข่ายไปยังจุดปลายทาง Azure Blob Storage ที่ “.core.windows.net” หรือช่วง IP ของ Azure
  • ตั้งค่าการแจ้งเตือนสำหรับรูปแบบผิดปกติในการคัดลอกหรือเข้าถึงไฟล์บนเซิร์ฟเวอร์สำคัญ

การตั้งค่า Azure

หากองค์กรใช้ Azure อยู่แล้ว แนะนำให้เลือกใช้งานฟังก์ชัน .Logout on Exit” เพื่อให้ผู้ใช้ถูกออกจากระบบโดยอัตโนมัติเมื่อปิดแอปพลิเคชัน ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีใช้เซสชันที่เปิดอยู่เพื่อขโมยไฟล์

ข้อมูลอ้างอิง