Хранилище Azure Blob Storage все чаще становится целью атак — и не случайно. Его гибкость и масштабируемость делают его центральным узлом для хранения неструктурированных данных в рабочих процессах, связанных с корпоративной аналитикой и искусственным интеллектом. В отчете подчеркивается, что неправильные настройки и уязвимости в identity controls превращают Azure Blob Storage в эффективный инструмент для фишинга, распространения вредоносных ресурсов и эксфильтрации данных.
Как действуют злоумышленники: тактики и приемы
Анализ показывает многоступенчатую модель атак, где ключевую роль играют разведка, первоначальный доступ, укрепление позиций и эксфильтрация:
- Разведка: сканирование доменов и подписок в поисках общедоступных container; изучение конфигураций ресурсов для выявления утечек конфиденциальной информации.
- Автоматизация и брутфорс: злоумышленники применяют language models для генерации правдоподобных storage account names, что повышает эффективность перебора и усложняет обнаружение.
- Эксплуатация identity controls: неправильные настройки используются для размещения malicious resources, включая phishing pages, и создания стартовых точек для атак.
- Первоначальный доступ: уязвимые endpoints, особенно плохо защищённые Azure Functions и Logic Apps, нередко служат вектором входа.
- Укрепление и сохранение доступа: манипуляции с учетными данными, повышение привилегий скомпрометированных identity, изменение access policies для создания постоянных точек опоры.
- Перемещение внутри сети: если злоумышленники контролируют source container, они могут инициировать события в Azure, запускать рабочие процессы и получать доступ к другим сервисам с повышенными правами.
- Сбор и эксфильтрация: использование штатных инструментов Azure и высокой пропускной способности для быстрого, малозаметного перемещения больших объёмов данных.
- C2‑канал через Blob metadata: Azure Blob Storage может служить скрытым каналом управления — вредоносное ПО в скомпрометированных системах запрашивает обновлённые metadata, содержащие команды, при этом основное содержимое blobs остаётся неизменным.
Последствия для бизнеса
Последствия атак на Azure Blob Storage серьёзны и многообразны:
- утрата целостности и конфиденциальности данных;
- нарушение непрерывности бизнес‑процессов;
- возможная эксплуатация ресурсов для распространения ransomware и шифрования критичных данных;
- длительное сохранение несанкционированного доступа вследствие модификации политик и привилегий.
«Azure Blob Storage стал привлекательной целью — не столько из‑за уязвимостей платформы, сколько из‑за конфигурационных ошибок и слабой политики управления идентификацией», — отмечают авторы анализа.
Проблемы обнаружения
Злоумышленники специально украшают свою активность так, чтобы она сливалась с легитимными операциями в облаке. Они ищут общедоступные containers, исследуют подписки и метаданные ресурсов, а также могут генерировать события, которые запускают легитимные рабочие процессы. Всё это затрудняет детекцию и требует продвинутого мониторинга активности на уровне подписки и отдельных ресурсов.
Рекомендации по снижению рисков
Ключевые практики защиты, которые помогут минимизировать уязвимость Azure Blob Storage:
- внедрить принцип least privilege для всех identity и сервисных аккаунтов;
- использовать Managed Identities вместо ключей там, где это возможно;
- ограничить доступ к container через private endpoints и сетевые правила;
- отключать публичный доступ к container, если он не нужен, и регулярно сканировать на предмет общедоступных ресурсов;
- строго контролировать и ротацию SAS‑токенов и ключей доступа;
- включить расширенное логирование (Activity Logs, Storage Logs, Diagnostic Settings) и настроить alerting на аномалии (внезапные загрузки больших объёмов, необычная генерация событий, изменение access policies);
- усилить защиту Azure Functions и Logic Apps: авторизация, validation входящих данных, ограничение прав вызываемых identity;
- внедрять регулярную threat hunting‑практику и верификацию конфигураций — automated configuration scanning;
- готовить планы реагирования и восстановления с учётом сценариев компрометации Blob Storage и возможного воздействия ransomware.
Вывод
Атаки на Azure Blob Storage — не гипотеза, а растущая реальность. Сочетание мощных облачных возможностей и ошибок в конфигурации создает привлекательную поверхность атаки для злоумышленников, которые используют современные методы — от language models до скрытых каналов управления через metadata. Постоянный мониторинг, строгая политика идентификации и проактивные меры безопасности — единственный способ снизить риски и защитить критичные данные и сервисы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атаки на хранилище больших двоичных объектов Azure: тактики и риски".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.