Storm-0501 威胁组织利用云技术实施勒索攻击的技术分析

攻击技术演进

微软威胁情报观察到经济动机威胁组织 Storm-0501 持续演进其攻击活动，重点发展基于云的战术、技术和程序（TTPs）。该威胁组织从部署本地端点勒索软件转向使用基于云的勒索技术。

与传统本地勒索软件不同，Storm-0501 利用云原生能力快速窃取大量数据，破坏受害者环境中的数据和备份，然后要求赎金，所有这些都不依赖传统恶意软件部署。

攻击链分析

本地环境入侵与云环境渗透

Storm-0501 首先通过域管理员权限入侵本地 Active Directory 环境，然后利用 Entra Connect Sync 目录同步账户（DSA）枚举用户、角色和 Azure 资源。攻击者使用 AzureHound 工具映射 Azure 环境中的关系和权限。

身份权限提升

攻击者识别出分配给 Microsoft Entra ID 全局管理员角色的非人类同步身份，该账户缺少多因素认证（MFA）注册。通过重置用户的本地密码，利用 Entra Connect Sync 服务将新密码同步到云身份，成功通过 MFA 注册绕过条件访问策略。

云持久化与数据破坏

获得全局管理员权限后，Storm-0501 立即建立持久化机制，通过恶意添加联合域创建后门。攻击者滥用 Azure 操作进行大规模数据破坏：

• 使用Microsoft.Storage/storageAccounts/delete删除 Azure 存储账户

• 使用Microsoft.Compute/snapshots/delete删除 Azure 快照

• 使用Microsoft.Authorization/locks/delete删除 Azure 资源锁

• 创建新的 Azure Key Vault 和客户管理密钥进行云加密

防护建议

本地环境防护

• 启用防篡改保护功能

• 在阻止模式下运行端点检测和响应（EDR）

• 启用全面自动化的调查和修复

云身份保护

• 实施最小权限原则

• 启用条件访问策略

• 要求所有用户使用多因素认证

• 确保全局管理员账户使用独立的用户账户

云资源保护

• 使用 Microsoft Defender for Cloud 保护云资源

• 启用 Microsoft Defender for Resource Manager

• 实施 Azure Blob 存储安全建议

• 启用 Azure Key Vault 的清除保护

检测指南

Microsoft Defender XDR 提供全面的检测覆盖，包括：

• 可疑登录活动检测

• Azure 管理操作监控

• 存储账户异常访问检测

• 密钥保管库可疑活动识别

高级狩猎查询

提供针对目录同步账户活动、Azure 管理事件和关键资产暴露的详细查询语句，帮助组织主动检测相关威胁活动。

通过实施这些防护措施和利用提供的检测能力，组织可以有效防御 Storm-0501 的混合云攻击策略。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享