تتجه مشهد الأمن السيبراني نحو تحول خطير، حيث بدأ مجرمو برامج الفدية، المعروفون باستخدام أدوات مشبوهة لسرقة البيانات، في استخدام البرامج التي يعتمد عليها فرق تكنولوجيا المعلومات يوميًا. أداة AzCopy المشروعة من مايكروسوفت، المصممة لنقل البيانات من وإلى Azure Storage، أصبحت الأداة المفضلة للمهاجمين الذين يقومون بتصريف الملفات الحساسة من المؤسسات بصمت قبل تشفيرها.
يعكس هذا التحول الأسلوب التشغيلي لمجموعات برامج الفدية الحديثة، والتي تهدف إلى التخفي والبقاء صامتة واستخدام التكنولوجيا الموثوقة ضد المنظمات التي صممت لدعمها.
صممت AzCopy لتبسيط عمليات البيانات السحابية واسعة النطاق للبيئات المؤسسية. تعمل كملف تنفيذي مستقل، ولا تتطلب تثبيتًا، وتنقل البيانات عبر اتصالات HTTPS القياسية مباشرة إلى بنية مايكروسوفت التحتية السحابية Azure. نظرًا لكونها أداة معترف بها ومستخدمة على نطاق واسع في العمليات التجارية الحقيقية، فإن معظم منصات الكشف والاستجابة لنقاط النهاية (EDR) لا تميز نشاطها على أنه مشبوه.
بالنسبة لمجرمي برامج الفدية، يوفر هذا غطاءً مثاليًا. من خلال توجيه البيانات المسروقة عبر أداة موثوقة إلى مزود سحابي شرعي عبر قنوات شبكة عادية، يمكن للمهاجمين نقل الملفات الحساسة خارج بيئة مستهدفة بأقل قدر من فرصة الاكتشاف.
استغلال AzCopy في عمليات سرقة البيانات الصامتة
حدد باحثو Varonis Threat Labs العديد من الحوادث التي تم فيها استخدام AzCopy مباشرة كأداة لتصريف البيانات، وفي حالة واحدة مؤكدة على الأقل، مرت العملية دون اكتشاف من قبل منصة EDR للمؤسسة الضحية. يشير هذا إلى تحول متعمد في كيفية تعامل مشغلي برامج الفدية مع المرحلة النهائية الأكثر أهمية للهجوم.
بدلاً من توجيه البيانات المسروقة إلى مزودي استضافة مقاومين للرصاص – الذين يواجهون ضغوطًا متزايدة من إنفاذ القانون، كما اتضح من تعطيل البنية التحتية لـ LockBit – يدفع الجهات الفاعلة في مجال التهديدات الآن البيانات إلى حسابات Azure Blob Storage التي يتم إعدادها في دقائق باستخدام بطاقة ائتمان أو بيانات اعتماد مخترقة.
يمتد تأثير هذه التكتيكات بعمق. تتبع هجمات برامج الفدية ذات الابتزاز المزدوج نمطًا من مرحلتين: يقوم المهاجمون أولاً بسرقة البيانات الحساسة، ثم يقومون بتشفير أنظمة المؤسسة، ويهددون بنشر الملفات المسروقة علنًا ما لم يتم دفع فدية.
عندما تتحرك البيانات المسروقة عبر البنية التحتية العالمية لشركة مايكروسوفت، فإنها تبدو متطابقة مع حركة مرور الأعمال العادية. لا يوجد سبب مدمج لفرق الأمان التي تراقب اتصالات Azure الصادرة لتمييز النشاط على أنه ضار. بحلول الوقت الذي يتم فيه تأكيد تصريف البيانات وتقديم طلب إزالة، عادة ما يتم نسخ البيانات إلى مكان آخر وتنتهي بها المطاف بالظهور على موقع تسريب المهاجم العام.
آلية عمل استغلال AzCopy
قبل تنفيذ أي نقل للملفات، تقوم الجهات الفاعلة في مجال التهديدات بإنشاء رمز توقيع الوصول المشترك (SAS) – وهو عنوان URL مصادقة مكتفٍ ذاتيًا يمنح الوصول إلى حساب تخزين Azure يتحكم فيه المهاجم دون الحاجة إلى اسم مستخدم أو كلمة مرور. يتم تضمين هذا الرمز مباشرة داخل أمر AzCopy ويحمل أذونات مدمجة مع أوقات البدء وانتهاء الصلاحية.
في الحالات التي تم التحقيق فيها، كان الرمز نشطًا لمدة ثلاثة أيام وثماني ساعات فقط، مما يحافظ على نافذة التعرض ضيقة مع السماح بوقت كافٍ لإكمال نقل البيانات بالكامل.
تم تخصيص أمر AzCopy بعناية لتحقيق الدقة. يحد المعيار --include-after من عمليات النقل للملفات المعدلة بعد تاريخ محدد، مستهدفًا فقط البيانات الحديثة وذات الصلة. يحدد المعيار --cap-mbps سرعة التحميل، مما يجعل حركة المرور الصادرة تبدو ثابتة ومتسقة بدلاً من إثارة عتبات اكتشاف الشبكة القائمة على الذروة.
معًا، تتيح هذه المعلمات للمهاجم استخلاص الملفات المستهدفة بهدوء، محاكيًا نشاط المزامنة السحابية العادية عبر الشبكة.
افتراضيًا، يكتب AzCopy ملف سجل إلى دليل مخفي يسمى .azcopy داخل ملف تعريف المستخدم الذي يقوم بالتنفيذ، ويسجل كل ملف تم نقله بنجاح. يحمل هذا السجل قيمة جنائية كبيرة للمحققين. ومع ذلك، في الحالات التي تم التحقيق فيها مؤخرًا، قامت الجهات الفاعلة في مجال التهديدات بحذف هذا الدليل بأكمله فور الانتهاء من تصريف البيانات، مما أدى عمدًا إلى محو مسار الأدلة لما تم سرقته.
يجب على المؤسسات مراقبة الاتصالات الصادرة إلى *.blob.core.windows.net من الأنظمة التي لا تتفاعل عادةً مع تخزين Azure. يمكن لتحليلات سلوك المستخدم والكيان (UEBA) تمييز أنماط الوصول غير العادية للملفات على حسابات الخدمة خارج خطوط السلوك المحددة. يجب أن يحد التطبيق المسموح به من تنفيذ AzCopy على الأنظمة والحسابات المعتمدة فقط.
يجب توثيق خطط الاستجابة للحوادث واختبارها مسبقًا، لا سيما فيما يتعلق بقرارات الاحتواء الرئيسية مثل قطع الوصول إلى الإنترنت أثناء وقوع حادث برامج فدية مباشر.