威胁演员对云服务非常感兴趣,因为云服务可能被滥用于多种恶意目的,例如存储恶意软件或实施命令和控制服务器。
现在它似乎是微软Azure的转变,最近专家报告了几个利用该平台来托管技术支持骗局和网络钓鱼模板的攻击。
安全研究人员已经发现了Microsoft Azure平台上托管的一些恶意软件。
![图片[3]-威胁参与者滥用Microsoft Azure云服务来托管恶意软件以及命令和控制(C&C)服务器-华盟网](https://pbs.twimg.com/profile_images/3311140912/1afd1cca1054b9022963ebeb36ca4d70_normal.png)
JTHL@JayTHLinteresting MS-hosted mal f/b @malwrhunterteam
systemservicex.azurewebsites[.]net/Files/prenter.exe
>
systemservicex.azurewebsites[.]net/data.asmx
in a SOAP-format set of messages.
u/a Mozilla/4.0 (compatible; MSIE 6.0; MS Web Services Client Protocol 2.0.50727.5485)@JAMESWT_MHT17
6:08 AM – May 12, 2019
AppRiver的研究人员观察到攻击者在Microsoft Azure平台上部署恶意软件,坏消息是这些恶意代码在5月29日几周后才被删除。
“现在,攻击已升级为Azure服务上托管的恶意软件。Azure不仅托管恶意软件,它还充当恶意文件的命令和控制基础架构“读取AppRiver发布的分析。
“2019年5月11日,恶意软件研究人员 @JayTHL和@malwrhunterteam 在Azure上发现了恶意软件。据 报道, 5月12日微软通过机票#SIR0552640进行了滥用行为。但是,自2019年5月29日 – 17天后,原始恶意软件(加上自上传的其他样本)仍然存在于Azure网站上。“
专家指出,Azure未能检测到Microsoft服务器上托管的恶意软件。
“没有任何服务被攻击或利用是绝对可靠的。很明显,Azure目前没有检测到驻留在微软服务器上的恶意软件。但是,如果用户试图下载可执行文件,Windows Defender 确实 检测到了恶意文件。“
在一个案例中,一个名为样本searchfile.exe被 上传到VirusTotal 于2019年4月26日,即使是Windows Defender的检测其在Azure上存在当前没有阻止恶意软件。不幸的是,专家报告了许多其他类似病例
专家认为,这种趋势将继续增长,威胁演员不仅会滥用Microsoft Azure,而且其他云服务(即Google Drive,Dropbox和Amazon)将被攻击者利用以避免被发现。
