Storm-0501威胁组织利用云技术实施勒索攻击的技术分析

Storm-0501威胁组织利用云技术实施勒索攻击的技术分析

攻击技术演进

微软威胁情报观察到经济动机威胁组织Storm-0501持续演进其攻击活动，重点发展基于云的战术、技术和程序（TTPs）。该威胁组织从部署本地端点勒索软件转向使用基于云的勒索技术。

与传统本地勒索软件不同，Storm-0501利用云原生能力快速窃取大量数据，破坏受害者环境中的数据和备份，然后要求赎金，所有这些都不依赖传统恶意软件部署。

攻击链分析

本地环境入侵与云环境渗透

Storm-0501首先通过域管理员权限入侵本地Active Directory环境，然后利用Entra Connect Sync目录同步账户（DSA）枚举用户、角色和Azure资源。攻击者使用AzureHound工具映射Azure环境中的关系和权限。

身份权限提升

攻击者识别出分配给Microsoft Entra ID全局管理员角色的非人类同步身份，该账户缺少多因素认证（MFA）注册。通过重置用户的本地密码，利用Entra Connect Sync服务将新密码同步到云身份，成功通过MFA注册绕过条件访问策略。

云持久化与数据破坏

获得全局管理员权限后，Storm-0501立即建立持久化机制，通过恶意添加联合域创建后门。攻击者滥用Azure操作进行大规模数据破坏：

• 使用Microsoft.Storage/storageAccounts/delete删除Azure存储账户
• 使用Microsoft.Compute/snapshots/delete删除Azure快照
• 使用Microsoft.Authorization/locks/delete删除Azure资源锁
• 创建新的Azure Key Vault和客户管理密钥进行云加密

防护建议

本地环境防护

• 启用防篡改保护功能
• 在阻止模式下运行端点检测和响应（EDR）
• 启用全面自动化的调查和修复

云身份保护

• 实施最小权限原则
• 启用条件访问策略
• 要求所有用户使用多因素认证
• 确保全局管理员账户使用独立的用户账户

云资源保护

• 使用Microsoft Defender for Cloud保护云资源
• 启用Microsoft Defender for Resource Manager
• 实施Azure Blob存储安全建议
• 启用Azure Key Vault的清除保护

检测指南

Microsoft Defender XDR提供全面的检测覆盖，包括：

• 可疑登录活动检测
• Azure管理操作监控
• 存储账户异常访问检测
• 密钥保管库可疑活动识别

高级狩猎查询

提供针对目录同步账户活动、Azure管理事件和关键资产暴露的详细查询语句，帮助组织主动检测相关威胁活动。

通过实施这些防护措施和利用提供的检测能力，组织可以有效防御Storm-0501的混合云攻击策略。