安全漏洞发生后,取证调查人员会迅速追踪攻击者的踪迹。安全专家分析了这种情况,发现一个关键的证据来源经常被忽视:Microsoft Azure 存储日志。
虽然经常被忽视,但这些日志提供了宝贵的见解,可以帮助重建攻击、追踪数据盗窃并识别安全漏洞。
Azure 存储帐户可以保存大量敏感数据,是旨在泄露信息的威胁行为者的主要目标。
但是,默认情况下,捕获其恶意活动的诊断日志记录并不总是启用,这给事件响应团队带来了重大盲点。如果没有这些日志,攻击者如何访问和窃取数据的关键证据可能会永远丢失。
威胁行为者利用各种弱点来获得未经授权的访问,包括配置错误的安全设置、薄弱的访问控制和泄露的凭据。
Microsoft 表示,两种常见的方法涉及滥用共享访问签名 (SAS) 令牌,后者在有限的时间内授予特定权限,以及暴露存储帐户密钥,后者提供对数据的特权、长期访问。
取证的 Microsoft Azure 存储日志
正确启用日志记录后,调查人员可以转到 Azure 的 Log Analytics 中的表。StorageBlobLogs
这些日志捕获有关对存储数据的每个读取、写入和删除作的基本详细信息。关键字段提供攻击者作的数字痕迹导航:
- 作名称:标识执行的特定作,例如“GetBlob”(下载文件)、“PutBlob”(上传文件)或“DeleteBlob”。
- CallerIpAddress:显示请求者的 IP 地址,帮助查明恶意活动的来源。
- UserAgentHeader 的 UserAgentHeader 中:提供有关用于访问数据的工具的线索,区分从 Web 浏览器、Azure 门户或专用工具(如 AzCopy 或 Azure 存储资源管理器)进行访问。
- 身份验证类型:显示用户如何进行身份验证,无论是通过标准凭据 (OAuth)、SAS 令牌还是帐户密钥。
通过分析这些字段,调查人员可以区分合法用户活动和威胁行为者的行动。
例如,来自未知 IP 地址的“ListContainers”或“ListBlobs”作突然激增可能表明攻击者正在映射存储环境。
同样,跟踪“GetBlob”作可以确认数据泄露并准确识别访问了哪些文件。
从检测到预防
调查通常首先将 Microsoft Entra ID 中的可疑登录与存储日志中的活动相关联。在一种方案中,具有管理权限的遭到入侵的用户帐户可用于授予另一个恶意帐户访问角色,例如“存储 Blob 数据参与者”。
日志将显示此角色分配,而日志随后将显示访问和下载敏感文件的新帐户。AzureActivityStorageBlobLogs
通过关联 SAS 令牌的身份验证哈希,调查人员可以跟踪使用该令牌执行的每个作,即使攻击者切换了 IP 地址也是如此。这有助于定义入侵的全部范围。
Dreymann 和 Shiva P 的分析强调了对使用 Azure 的组织的一个关键信息:启用存储帐户日志记录不仅是一种选择,而且是一种必要。
这些日志对于泄露后取证是必不可少的,使团队能够了解事件的范围,指导补救工作,并实施更强大的控制以防止未来的数据被盗。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
