A Microsoft Threat Intelligence observou o ator de ameaças com motivações financeiras Storm-0501 evoluindo continuamente suas campanhas para alcançar um foco aprimorado em táticas, técnicas e procedimentos (TTPs) baseados em nuvem. Embora esse ator de ameaças seja conhecido por segmentar ambientes de nuvem híbrida, seu objetivo principal mudou de implantar ransomware de endpoint local para usar táticas de ransomware baseadas em nuvem.
Ao contrário do ransomware tradicional local, onde o ator de ameaças normalmente implanta malware para criptografar arquivos críticos em endpoints dentro da rede comprometida e então negocia por uma chave de descriptografia, o ransomware baseado em nuvem introduz uma mudança fundamental. Aproveitando capacidades nativas da nuvem, o Storm-0501 rapidamente exfiltra grandes volumes de dados, destrói dados e backups dentro do ambiente da vítima, e exige resgate — tudo sem depender de implantação tradicional de malware.
O direcionamento do Storm-0501 é oportunístico. O ator de ameaças inicialmente implantou o ransomware Sabbath em um ataque contra distritos escolares dos Estados Unidos em 2021. Em novembro de 2023, o ator teve como alvo o setor de saúde. Ao longo dos anos, o ator trocou cargas úteis de ransomware múltiplas vezes, usando o ransomware “Embargo” em ataques em 2024.
Em setembro de 2024, publicamos um blog detalhando como o Storm-0501 estendeu suas operações de ransomware local para ambientes de nuvem híbrida. O ator de ameaças ganhou uma base ao comprometer ambientes Active Directory e então pivotou para o Microsoft Entra ID, escalando privilégios em identidades híbridas e de nuvem para obter privilégios de administrador global. A fase de impacto desses ataques assumiu uma de duas formas: implantar backdoors em configurações de tenant do Entra ID usando domínios federados maliciosamente adicionados para permitir login como quase qualquer usuário ou implantar ransomware local para criptografar endpoints e servidores, eventualmente exigindo resgate pelas chaves de descriptografia.
O Storm-0501 continuou a demonstrar proficiência em se mover entre ambientes locais e de nuvem, exemplificando como atores de ameaças se adaptam conforme a adoção de nuvem híbrida cresce. Eles caçam por dispositivos não gerenciados e lacunas de segurança em ambientes de nuvem híbrida para evitar detecção e escalar privilégios de nuvem e, em alguns casos, atravessar tenants em configurações multi-tenant para alcançar seus objetivos.
Neste post do blog, descrevemos o impacto de um ataque recente do Storm-0501 em um ambiente de nuvem comprometido. Rastreamos como o ator de ameaças alcançou impacto de ransomware baseado em nuvem através da escalada de privilégios na nuvem, aproveitando lacunas de proteção e visibilidade no ambiente comprometido, e pivotando de local (on premises) para nuvem. Entender como tais ataques são conduzidos é crítico para proteger ambientes de nuvem. Abaixo compartilhamos recomendações de proteção e mitigação, incluindo fortalecimento de proteções para identidades e recursos de nuvem, e orientação de detecção através de soluções de segurança Microsoft para ajudar organizações a fortalecer suas redes contra esses ataques.
Comprometimento local e pivotagem para a nuvem
Em uma campanha recente, o Storm-0501 comprometeu uma grande empresa composta por múltiplas subsidiárias, cada uma operando seu próprio domínio Active Directory. Esses domínios são interconectados através de relacionamentos de confiança de domínio, habilitando autenticação entre domínios e acesso a recursos.
O ambiente de nuvem espelha essa complexidade. Diferentes subsidiárias mantêm tenants separados do Microsoft Azure, com cobertura variável de produtos Microsoft Defender. Notavelmente, apenas um tenant tinha o Microsoft Defender for Endpoint implantado, e dispositivos de múltiplos domínios Active Directory foram integrados à licença deste único tenant. Esta implantação fragmentada criou lacunas de visibilidade através do ambiente.
Domínios Active Directory foram sincronizados para vários tenants Entra ID usando servidores Entra Connect Sync. Em alguns casos, um único domínio foi sincronizado para mais de um tenant, complicando ainda mais o gerenciamento e monitoramento de identidade. Para clareza, este blog foca nos dois tenants impactados pelo ataque: um onde atividade local foi observada, e outro onde atividade baseada em nuvem ocorreu.
Atividade local (on-premises)
Para os propósitos deste blog, focamos nossa análise na fase pós-comprometimento do ataque local, significando que o ator de ameaças já havia alcançado privilégios de administrador de domínio no alvo. Leia nosso blog anterior para uma visão mais abrangente das táticas do Storm-0501 em ambientes locais.
A implantação limitada do Microsoft Defender for Endpoint através do ambiente significativamente prejudicou a detecção. Dos múltiplos domínios comprometidos, apenas um domínio tinha implantação significativa do Defender for Endpoint, deixando porções da rede não monitoradas. Nos poucos dispositivos integrados onde a atividade do Storm-0501 foi observada, notamos que o ator de ameaças conduziu reconhecimento antes de executar ações maliciosas. Especificamente, o ator de ameaças usou os seguintes comandos:
sc query sense
sc query windefend
O ator de ameaças verificou a presença de serviços Defender for Endpoint, sugerindo um esforço deliberado para evitar detecção ao focar em sistemas não integrados. Isso destaca a importância de cobertura abrangente de endpoint.
O movimento lateral foi facilitado usando Evil-WinRM, uma ferramenta pós-exploração que utiliza PowerShell sobre Windows Remote Management (WinRM) para execução remota de código. Os comandos mencionados acima foram executados sobre sessões iniciadas com a ferramenta, assim como descoberta usando outras ferramentas e comandos nativos comuns do Windows como quser.exe e net.exe. Mais cedo no ataque, o ator de ameaças havia comprometido um servidor Entra Connect Sync que não estava integrado ao Defender for Endpoint. Avaliamos que este servidor serviu como um ponto de pivô, com o ator de ameaças estabelecendo um túnel para se mover lateralmente dentro da rede.
O agente de ameaças também realizou um ataque DCSync, uma técnica que abusa do Directory Replication Service (DRS) Remote Protocol para simular o comportamento de um controlador de domínio. Ao personificar um controlador de domínio, o ator de ameaças poderia solicitar hashes de senha para qualquer usuário no domínio, incluindo contas privilegiadas. Esta técnica é frequentemente usada para extrair credenciais sem acionar alertas tradicionais baseados em autenticação.
Mudança para a nuvem
Após o comprometimento local do primeiro tenant, o ator de ameaças aproveitou a Conta de Sincronização de Diretório (DSA) do Entra Connect Sync para enumerar usuários, funções e recursos Azure dentro do tenant. Este reconhecimento foi realizado usando AzureHound, uma ferramenta projetada para mapear relacionamentos e permissões em ambientes Azure e consequentemente encontrar potenciais caminhos de ataque e escaladas.
Logo depois, o ator de ameaças tentou fazer login como vários usuários privilegiados. Essas tentativas não foram bem-sucedidas, bloqueadas por políticas de Acesso Condicional e requisitos de autenticação multifator (MFA). Isso sugere que embora o Storm-0501 tivesse credenciais válidas, eles careciam do segundo fator necessário ou não conseguiram satisfazer condições de política.
Não desanimado, o Storm-0501 mudou de táticas. Aproveitando sua base no ambiente Active Directory, eles atravessaram entre domínios Active Directory e eventualmente se moveram lateralmente para comprometer um segundo servidor Entra Connect associado com tenant Entra ID diferente e domínio Active Directory. O ator de ameaças extraiu a Conta de Sincronização de Diretório para repetir o processo de reconhecimento, desta vez direcionando identidades e recursos no segundo tenant.
Escalada de identidade
Como resultado da fase de descoberta onde o ator de ameaças aproveitou controle local para pivotar através de domínios Active Directory e amplamente enumerar recursos de nuvem, eles ganharam visibilidade crítica da postura de segurança da organização. Eles então identificaram uma identidade sincronizada não-humana que foi atribuída com a função Global Administrator no Microsoft Entra ID naquele tenant. Além disso, esta conta carecia de qualquer método MFA registrado. Isso permitiu ao ator de ameaças redefinir a senha local do usuário, que logo depois foi então legitimamente sincronizada para a identidade de nuvem daquele usuário usando o serviço Entra Connect Sync. Identificamos que a mudança de senha foi conduzida pela Conta de Sincronização de Diretório (DSA, em inglês) do Entra Connect, já que o serviço Entra Connect Sync foi configurado no modo mais comum Password-Hash Synchronization (PHS). Consequentemente, o ator de ameaças foi capaz de autenticar contra o Entra ID como aquele usuário usando a nova senha.
Como nenhum MFA estava registrado para o usuário, após autenticar com sucesso usando a senha recém-atribuída, o ator de ameaças foi redirecionado para simplesmente registrar um novo método MFA sob seu controle. A partir de então, o usuário comprometido tinha um método MFA registrado que permitiu ao ator de ameaças cumprir condições MFA e atender à configuração de políticas de Acesso Condicional do cliente por recurso.
Para acessar o portal Azure usando a conta Global Admin comprometida, o ator de ameaças teve que contornar mais uma condição que foi imposta por políticas de Acesso Condicional para aquele recurso, que requer que autenticação ocorra de um dispositivo híbrido unido ao Microsoft Entra. Dispositivos híbridos unidos são dispositivos que estão unidos tanto ao domínio Active Directory quanto ao Entra ID. Observamos tentativas de autenticação falhadas vindas de dispositivos da empresa que são dispositivos unidos ao domínio ou unidos ao Entra que não atenderam à condição de Acesso Condicional. O ator de ameaças teve que se mover lateralmente entre diferentes dispositivos na rede, até observarmos um login bem-sucedido ao portal Azure com a conta Global Admin vindo de um servidor que estava conectado hibridamente.
A partir do ponto que o ator de ameaças foi capaz de atender com sucesso às políticas de Acesso Condicional e fazer login no portal Azure como uma conta Global Admin, o Storm-0501 essencialmente alcançou controle total sobre o domínio de nuvem. O ator de ameaças então utilizou os mais altos privilégios de nuvem possíveis para obter seus objetivos.
Comprometimento de identidade de nuvem: Entra ID
Persistência na nuvem
Após autenticação bem-sucedida como Global Admin para o tenant, o Storm-0501 imediatamente estabeleceu um mecanismo de persistência. Como foi visto na atividade anterior deste ator de ameaças, o Storm-0501 criou um backdoor usando um domínio federado maliciosamente adicionado, permitindo-lhes fazer login como quase qualquer usuário, de acordo com a propriedade ImmutableId do usuário. O ator de ameaças aproveitou os privilégios da função Entra Global Administrator e a ferramenta AADInternals para registrar um tenant Entra ID de propriedade do ator de ameaças como um domínio federado confiável pelo tenant direcionado. Para estabelecer confiança entre os dois tenants, um certificado raiz gerado pelo ator de ameaças é fornecido ao tenant vítima, que por sua vez é usado para permitir solicitações de autenticação vindas do tenant de propriedade do ator de ameaças. O backdoor permitiu ao Storm-0501 criar tokens de security assertion markup language (SAML) aplicáveis ao tenant vítima, personificando usuários no alvo enquanto assumia as funções Microsoft Entra do usuário personificado.
Comprometimento de nuvem: Azure
Acesso inicial e escalada de privilégios no Azure
Os ambientes Entra ID e Azure de um tenant estão interligados. E como o Storm-0501 ganhou privilégios de nível superior no Entra ID, eles puderam prosseguir para seu objetivo final, que era usar táticas de ransomware baseadas em nuvem para ganho monetário. Para alcançar este objetivo, eles tiveram que encontrar os armazenamentos de dados valiosos da organização, e estes estavam residindo na nuvem: no Azure.
Porque eles haviam comprometido um usuário com a função Microsoft Entra Global Administrator, a única operação que tiveram que fazer para infiltrar o ambiente Azure foi elevar seu acesso aos recursos Azure. Eles elevaram seu acesso aos recursos Azure invocando a operação Microsoft.Authorization/elevateAccess/action. Ao fazer isso, eles ganharam a função User Access Administrator Azure sobre todas as assinaturas Azure da organização, incluindo todos os dados valiosos residindo dentro delas.
Para operar livremente dentro do ambiente, o ator de ameaças atribuiu a si mesmo a função Owner Azure sobre todas as assinaturas Azure disponíveis invocando a operação Microsoft.Authorization/roleAssignments/write.
Descoberta
Após assumir controle sobre o ambiente Azure da organização, avaliamos que o ator de ameaças iniciou uma fase de descoberta abrangente usando várias técnicas, incluindo o uso da ferramenta AzureHound, onde eles tentaram localizar os ativos críticos da organização, incluindo armazenamentos de dados que continham informações sensíveis, e recursos de armazenamento de dados destinados a fazer backup de dispositivos endpoint locais e de nuvem. O ator de ameaças conseguiu mapear o ambiente Azure, incluindo a compreensão das proteções ambientais existentes, como políticas do Azure, bloqueios de recursos, políticas de imutabilidade do Azure Storage, e mais.
Evasão de defesa
O ator de ameaças então direcionou as contas Azure Storage da organização. Usando as funcionalidades de acesso público no Azure Storage, o Storm-0501 expôs contas não acessíveis remotamente à internet e à sua própria infraestrutura, pavimentando o caminho para a fase de exfiltração de dados. Eles fizeram isso utilizando as funcionalidades de acesso público no Azure Storage. Para modificar os recursos da conta Azure Storage, o ator de ameaças abusou da operação Azure Microsoft.Storage/storageAccounts/write.
Acesso a credenciais
Para contas Azure Storage que têm acesso por chave habilitado, o ator de ameaças abusou de sua função Azure Owner para acessar e roubar as chaves de acesso para elas abusando da operação Azure Microsoft.Storage/storageAccounts/listkeys/action.
Exfiltração
Após expor as contas Azure Storage, o ator de ameaças exfiltrou os dados nessas contas para sua própria infraestrutura abusando da ferramenta de linha de comando (CLI) AzCopy.
Impacto
No ransomware local, o ator de ameaças normalmente implanta malware que criptografa arquivos cruciais em quantos endpoints possível, então negocia com a vítima pela chave de descriptografia. Em ataques de ransomware baseados em nuvem, funcionalidades e capacidades de nuvem dão ao ator de ameaças a capacidade de rapidamente exfiltrar e transmitir grandes quantidades de dados do ambiente vítima para sua própria infraestrutura, destruir os dados e recursos de backup de nuvem no ambiente de nuvem vítima, e então exigir o resgate.
Após completar a fase de exfiltração, o Storm-0501 iniciou a exclusão em massa dos recursos Azure contendo dados da organização vítima, prevenindo a vítima de tomar ação de remediação e mitigação restaurando os dados. Eles fazem isso abusando das seguintes operações Azure contra múltiplos provedores de recursos Azure:
- Microsoft.Compute/snapshots/delete – Exclui Azure Snapshot, uma cópia somente leitura, point -in-time do disco de uma VM Azure (VHD), capturando seu estado e dados em um momento específico, que existe independentemente do disco fonte e pode ser usado como backup ou clone daquele disco.
- Microsoft.Compute/restorePointCollections/delete – Exclui o Ponto de Restauração da VM Azure, que armazena configuração de máquinas virtuais (VM) e snapshots consistentes de aplicação ponto no tempo de todos os discos gerenciados anexados à VM.
- Microsoft.Storage/storageAccounts/delete – Exclui a conta de armazenamento Azure, que contém objetos de dados do Azure Storage de uma organização: blobs, arquivos, filas e tabelas. Em todas as campanhas Azure do Storm-0501 que investigamos, é onde eles principalmente focaram, excluindo quantos recursos de conta Azure Storage possível no ambiente.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/delete – Exclui um contêiner de proteção do cofre de serviços de recuperação Azure. Um contêiner de proteção é um agrupamento lógico de recursos (como VMs ou cargas de trabalho) que podem ter backup feito juntos, dentro do cofre de Serviços de Recuperação.Durante as tentativas do ator de ameaças de exclusão em massa dos recursos de armazenamento/alojamento de dados, eles enfrentaram erros e falharam em excluir alguns dos recursos devido às proteções existentes no ambiente. Essas proteções incluem bloqueios de recursos Azure e políticas de imutabilidade do Azure Storage. Eles então tentaram excluir essas proteções usando as seguintes operações:
- Microsoft.Authorization/locks/delete – Exclui bloqueios de recursos Azure, que são usados para prevenir exclusão e modificação acidental de usuário de assinaturas, grupos de recursos ou recursos Azure. O bloqueio sobrescreve qualquer permissão de usuário.
- Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete – Exclui políticas de imutabilidade do armazenamento Azure, que protegem dados blob de serem sobrescritos ou excluídos.
Após excluir com sucesso múltiplos bloqueios de recursos Azure e políticas de imutabilidade do Azure Storage, o ator de ameaças continuou a exclusão em massa dos armazenamentos de dados Azure, apagando com sucesso recursos em várias assinaturas Azure. Para recursos que permaneceram protegidos por políticas de imutabilidade, o ator recorreu à criptografia baseada em nuvem.
Para realizar criptografia baseada em nuvem, o Storm-0501 criou um novo Azure Key Vault e uma nova chave gerenciada pelo cliente dentro do Key Vault, que é destinada a ser usada para criptografar as contas Azure Storage restantes usando a funcionalidade Azure Encryption scopes:
- Microsoft.KeyVault/vaults/write – Cria ou modifica um Azure Key Vault existente. O ator de ameaças cria um novo cofre de chave Azure para hospedar a chave de criptografia.
- Microsoft.Storage/storageAccounts/encryptionScopes/write – Cria ou modifica escopos de criptografia de armazenamento Azure, que gerenciam criptografia com uma chave que é escopo para um contêiner ou um blob individual. Quando você define um escopo de criptografia, você pode especificar se o escopo é protegido com uma chave gerenciada pela Microsoft ou com uma chave gerenciada pelo cliente que é armazenada no Azure Key Vault.
O ator de ameaças abusou da funcionalidade de escopos de criptografia do Azure Storage e criptografou os blobs de Storage nas contas Azure Storage. Isso não foi suficiente, pois a organização ainda poderia acessar os dados com as permissões Azure apropriadas. Na tentativa de tornar os dados inacessíveis, o ator exclui a chave que é usada para a criptografia. No entanto, é importante notar que cofres Azure Key e chaves que são usadas para propósitos de criptografia são protegidas pela funcionalidade de soft-delete do Azure Key Vault, com um período padrão de 90 dias, que permite ao usuário recuperar a chave/cofre excluída da exclusão, prevenindo criptografia baseada em nuvem para propósitos de ransomware.
Após exfiltrar e destruir com sucesso os dados dentro do ambiente Azure, o ator de ameaças iniciou a fase de extorsão, onde eles contataram as vítimas usando Microsoft Teams usando um dos usuários previamente comprometidos, exigindo resgate.
Orientação de mitigação e proteção
A Microsoft recentemente implementou uma mudança no Microsoft Entra ID que restringe permissões na função Directory Synchronization Accounts (DSA) no Microsoft Entra Connect Sync e Microsoft Entra Cloud Sync. Esta mudança ajuda a prevenir atores de ameaças de abusar Contas de Sincronização de Diretório em ataques para escalar privilégios. Adicionalmente, uma nova versão lançada em maio de 2025 introduz autenticação moderna, permitindo aos clientes configurar autenticação baseada em aplicação para segurança aprimorada (atualmente em visualização pública). Também é importante habilitar Trusted Platform Module (TPM) no servidor Entra Connect Sync para armazenar com segurança credenciais sensíveis e chaves criptográficas, mitigando as técnicas de extração de credenciais do Storm-0501.
As técnicas usadas por atores de ameaças e descritas neste blog podem ser mitigadas adotando as seguintes medidas de segurança:
Protegendo ambientes locais
- Ativar funcionalidades de proteção contra adulteração para prevenir atores de ameaças de parar serviços de segurança como Microsoft Defender for Endpoint, que pode ajudar a prevenir ataques de ambiente de nuvem híbrida como abuso do Microsoft Entra Connect.
- Executar detecção e resposta de endpoint (EDR) em modo de bloqueio para que o Defender for Endpoint possa bloquear artefatos maliciosos, mesmo quando seu antivírus não-Microsoft não detecta a ameaça ou quando o Microsoft Defender Antivirus está executando em modo passivo. EDR em modo de bloqueio trabalha nos bastidores para remediar artefatos maliciosos detectados pós-violação.
- Ativar investigação e remediação em modo totalmente automatizado para permitir ao Defender for Endpoint tomar ação imediata em alertas para ajudar a remediar alertas, reduzindo significativamente o volume de alertas.
Protegendo identidades de nuvem
- Proteger contas com higiene de credenciais: praticar o princípio do menor privilégio e auditar atividade de conta privilegiada em seus ambientes Microsoft Entra ID e Azure para retardar ou parar atores de ameaças.
- Habilitar políticas de Acesso Condicional – Políticas de Acesso Condicional são avaliadas e aplicadas toda vez que o usuário tenta fazer login. Organizações podem se proteger de ataques que aproveitam credenciais roubadas habilitando políticas como requisitos de conformidade de dispositivo ou endereço IP confiável.
- Definir uma política de Acesso Condicional para limitar o acesso das Contas de Sincronização de Diretório (DSA) do Microsoft Entra ID de endereços IP não confiáveis para todas as aplicações de nuvem. Consulte a seção de busca avançada e marque a consulta relevante para obter esses endereços IP.
- Para servidores Entra Connect Sync usando autenticação baseada em aplicação, usar Acesso Condicional para identidades de carga de trabalho para restringir o principal de serviço da aplicação de acesso não autorizado similar.
- Garantir requisito de autenticação multifator (MFA) para todos os usuários. Adicionar mais métodos de autenticação, como o aplicativo Microsoft Authenticator ou um número de telefone, aumenta o nível de proteção se um fator for comprometido.
- Garantir que a autenticação multifator resistente a phishing é requerida para Administradores.
- Garantir que identidades superprovisionadas do Microsoft Azure tenham apenas as permissões necessárias.
- Garantir contas de usuário separadas e encaminhamento de email para contas Global Administrator. Contas Global Administrator (e outros grupos privilegiados) devem ser contas nativas de nuvem sem laços com Active Directory local. Veja outras práticas recomendadas para usar funções privilegiadas aqui.
- Garantir que todos os usuários privilegiados existentes tenham um método MFA já registrado para proteger contra registros MFA maliciosos.
- Implementar força de autenticação de Acesso Condicional para requerer autenticação resistente a phishing para funcionários e usuários externos para aplicações críticas.
- Referir-se às melhores práticas de segurança de gerenciamento de identidade e controle de acesso Azure para passos e recomendações adicionais para gerenciar, projetar e proteger seu ambiente Entra ID.
- Garantir que conectores Microsoft Defender for Cloud Apps estejam ativados para sua organização para receber alertas na Conta de Sincronização de Diretório do Microsoft Entra ID e todos os outros usuários.
- Habilitar proteção para prevenir contorno do Microsoft Entra MFA de nuvem quando federado com Microsoft Entra ID. Isso aprimora proteção contra ataques de domínios federados.
- Definir a propriedade validatingDomains de federatedTokenValidationPolicy para “all” para bloquear tentativas de fazer login em qualquer domínio não-federado (como .onmicrosoft.com) com tokens SAML.
- Se apenas o Microsoft Entra ID realizar MFA para um domínio federado, definir federatedIdpMfaBehavior para rejectMfaByFederatedIdp para prevenir contorno de CAPs MFA.
- Ativar proteção Microsoft Entra ID para monitorar riscos baseados em identidade e criar políticas de Acesso Condicional baseadas em risco para remediar logins arriscados.
Protegendo recursos de nuvem
• Usar soluções como Microsoft Defender for Cloud para proteger seus recursos e ativos de nuvem de atividade maliciosa, tanto em gerenciamento de postura, quanto em capacidades de detecção de ameaças.
• Habilitar Microsoft Defender for Resource Manager como parte do Defender for Cloud para monitorar automaticamente as operações de gerenciamento de recursos em sua organização. Defender for Resource Manager executa análises de segurança avançadas para detectar ameaças e alerta sobre atividade suspeita.
• Habilitar o Defender for Resource Manager permite aos usuários investigar operações de gerenciamento Azure dentro do Defender XDR, usando a experiência de busca avançada.
• Utilizar o log de atividade Azure Monitor para investigar e monitorar eventos de gerenciamento Azure.
• Utilizar políticas Azure para Azure Storage para prevenir configurações incorretas de rede e segurança e maximizar a proteção de dados empresariais armazenados em suas contas de armazenamento.
• Implementar recomendações de segurança do Azure Blog Storage para proteção aprimorada de dados.
• Utilizar as opções disponíveis para proteção de dados no Azure Storage.
• Habilitar armazenamento imutável para Azure Blob Storage para proteger de modificação ou exclusão acidental ou maliciosa de blobs ou contas de armazenamento.
• Aplicar bloqueios do Azure Resource Manager para proteção de modificações ou exclusões acidentais ou maliciosas de contas de armazenamento.
• Habilitar Azure Monitor para Azure Blob Storage para coletar, agregar e registrar dados para permitir recriação de trilhas de atividade para propósitos de investigação quando um incidente de segurança ocorre ou a rede é comprometida.
• Habilitar Microsoft Defender for Storage usando uma política Azure integrada.
• Após habilitar Microsoft Defender for Storage como parte do Defender for Cloud, utilizar a tabela CloudStorageAggregatedEvents (visualização) na busca avançada para procurar proativamente por atividade maliciosa de armazenamento.
• Habilitar backup de blob Azure para proteger de exclusões acidentais ou maliciosas de blobs ou contas de armazenamento.
• Aplicar o princípio do menor privilégio ao autorizar acesso a dados blob no Azure Storage usando Microsoft Entra e RBAC e configurar acesso granular ao Azure Blob Storage para acesso a dados sensíveis através do Azure ABAC.
• Usar endpoints privados para acesso à conta Azure Storage para desabilitar acesso de rede pública para aumentar a segurança.
• Evitar usar acesso de leitura anônimo para dados blob.
• Habilitar proteção de limpeza em Azure Key Vaults para prevenir exclusão imediata e irreversível de cofres e segredos. Usar o intervalo de retenção padrão de 90 dias.
• Habilitar logs no Azure Key Vault e retê-los por até um ano para permitir recriação de trilhas de atividade para propósitos de investigação quando ocorrer um incidente de segurança ou a rede for comprometida.
• Habilitar Microsoft Azure Backup para máquinas virtuais para proteger os dados em suas máquinas virtuais Microsoft Azure, e para criar pontos de recuperação que são armazenados em cofres de recuperação geo-redundantes.
Recomendações gerais de higiene
• Utilizar Microsoft Security Exposure Management, disponível no portal Microsoft Defender, com recursos como proteção de ativos críticos e análise de caminhos de ataque que permitem às equipes de segurança reduzir proativamente exposição e mitigar o impacto das táticas de ataque híbrido do Storm-0501. Neste caso, cada um dos ativos críticos envolvidos – servidor Entra Connect, usuários com permissões DCSync, administradores globais – pode ser identificado por alertas e recomendações relevantes.
• Investigar caminhos de ataque Microsoft Security Exposure Management locais e híbridos. As equipes de segurança podem usar análise de caminho de ataque para rastrear ameaças entre domínios que exploram o servidor Entra Connect crítico para pivotar em cargas de trabalho de nuvem, escalar privilégios e expandir seu alcance. As equipes podem usar a visualização ‘Chokepoint’ no painel de caminho de ataque no Microsoft Security Exposure Management para destacar entidades aparecendo em múltiplos caminhos.
• Utilizar o recurso de gerenciamento de ativos críticos no Microsoft Security Exposure Management, configurando suas próprias consultas personalizadas para identificar os ativos críticos para os negócios de sua organização de acordo com suas necessidades, como contas Azure Storage críticas para negócios.
Detecções Microsoft Defender XDR
Clientes Microsoft Defender XDR podem conferir a lista de detecções aplicáveis abaixo. O Microsoft Defender XDR coordena a detecção, prevenção, investigação e resposta através de endpoints, identidades, emails e aplicativos para fornecer proteção integrada contra ataques como a ameaça discutida neste blog.
Clientes com acesso provisionado também podem usar Microsoft Security Copilot no Microsoft Defender para investigar e responder a incidentes, procurar ameaças e proteger sua organização com inteligência de ameaças relevantes.
| Tática | Atividade observada | Cobertura Microsoft Defender |
| Acesso inicial | – Logins suspeitos | Microsoft Defender XDR – Autenticação com credenciais comprometidas – Conta de usuário comprometida em padrão de ataque reconhecido – Login malicioso de endereço IP arriscado – Login malicioso de endereço IP associado com infraestrutura de atacante reconhecida – Login malicioso de infraestrutura de atacante reconhecida – Login malicioso de user agent incomum – Login malicioso de endereço IP de ator de ameaças conhecido – Autenticação bem-sucedida de IP malicioso – Autenticação bem-sucedida de IP suspeito – Autenticação bem-sucedida usando credenciais comprometidas – Usuário comprometido através de sequestro de cookie de sessão – Usuário logou de endereço IP malicioso conhecido – Login Azure suspeito por usuário com sessão ativa em dispositivo envolvido em tentativa de roubo de credencial Microsoft Defender for Identity – Possível conta de usuário comprometida logou – Possível conta de principal de serviço comprometida logou Microsoft Defender for Cloud Apps – Login suspeito da ferramenta AADInternals Microsoft Defender for Cloud Defender for Resource Manager – Invocação suspeita de operação de ‘Acesso Inicial’ de alto risco detectada (Preview) Defender for Storage – Acesso de local incomum a conta de armazenamento – Acesso de local incomum a contêiner blob sensível – Acesso de endereço IP suspeito conhecido a contêiner blob sensível – Acesso de endereço IP suspeito – Acesso público não autenticado incomum a contêiner blob sensível |
| Execução | – Vários tipos de atividade suspeita relacionada à execução por um atacante foram observados – Criação de tokens de acesso e execução de ações contra a nuvem | Microsoft Defender for Endpoint – Conta comprometida conduzindo ataque hands-on-keyboard – Potencial atividade maliciosa operada por humano – Lançamento suspeito de cmdlets usando AADInternals |
| Persistência | – Backdoor de domínio federado foi adicionado | Microsoft Defender for Cloud Apps – Criação de backdoor usando ferramenta AADInternals |
| Escalada de privilégios | – Acesso elevado a recursos Azure – Atribuição de função Owner Azure | Microsoft Defender XDR – Operação suspeita de elevação de acesso Azure por usuário com sessão ativa em dispositivo envolvido em tentativa de roubo de credencial – Possível conta Microsoft Entra Connect Sync comprometida elevou seu acesso a recursos Azure – Possível usuário comprometido elevou acesso a recursos Azure Microsoft Defender for Cloud Defender for Resource Manager – Operação suspeita de elevação de acesso – Invocação suspeita de operação de ‘Escalada de Privilégios’ de alto risco detectada (Preview) – Atribuição suspeita de função Azure detectada (Preview) |
| Evasão de defesa | – Tentativas de adulterar Microsoft Defender Antivirus – Manipulação de configurações de conta Azure Storage | Microsoft Defender for Endpoint – Tentativa de desativar proteção Microsoft Defender Antivirus Microsoft Defender for Cloud Defender for Resource Manager – Invocação suspeita de operação de ‘Evasão de Defesa’ de alto risco detectada (Preview) |
| Acesso a credenciais | – Comprometimento do servidor Entra Connect Sync e extração de contas de sincronização – Extração de credenciais de máquinas remotas – Execução de operação DCSync contra controlador de domínio – Acesso a chaves de acesso de contas Azure Storage – Criação de chave dentro de Azure Key Vault para criptografia de dados Azure Storage | Microsoft Defender Antivirus – Trojan:Win32/SuspAdSyncAccess.A!EntraConnect – Backdoor:Win32/AdSyncDump!EntraConnect – Behavior:Win32/DumpADConnectCreds.A!EntraConnect – Trojan:Win32/SuspAdSyncAccess.A!EntraConnect – Behavior:Win32/SuspAdsyncBin.A!EntraConnect Microsoft Defender for Endpoint – Tentativa de extração de credenciais Entra Connect Sync – Indicação de roubo de segredos da autoridade de segurança local – Potencial adulteração do Entra Connect – Ataque hands-on-keyboard contínuo usando toolkit Impacket – Possível fonte de ataque DCSync Microsoft Defender for Identity – Suspeita de ataque DCSync (replicação de serviços de diretório) Microsoft Defender for Cloud Apps – Conta Microsoft Entra ID Cloud Sync comprometida – Ferramenta AADInternals usada por conta Microsoft Entra Sync – Atividade suspeita da conta Entra Connect Sync após login suspeito – Login suspeito à conta Microsoft Entra Connect Sync Microsoft Defender for Cloud Defender for Resource Manager – Invocação suspeita de operação de ‘Acesso a Credenciais’ de alto risco detectada (Preview) Defender for Key Vault – Recuperação suspeita de cofre de chaves detectada – Aplicação incomum acessou cofre de chaves – Padrão de operação incomum em cofre de chaves – Usuário incomum acessou cofre de chaves |
| Descoberta | – Verificação se Microsoft Defender for Endpoint está integrado em máquina – Atividade de reconhecimento contra Active Directory/Entra ID/Azure – Invocação da ferramenta AzureHound no ambiente de nuvem | Microsoft Defender for Endpoint – Sequência suspeita de atividades de exploração Microsoft Defender for Cloud Apps – Uso suspeito do AzureHound Microsoft Defender for Identity – Ferramenta de reconhecimento foi observada Microsoft Defender for Cloud Defender for Resource Manager – Invocação da ferramenta AzureHound detectada |
| Movimento lateral | – Movimento lateral entre endpoints na rede – Movimento lateral usando Evil-WinRM – Tentativas de login na nuvem usando credenciais roubadas ou tokens de acesso extraídos de endpoints comprometidos | Microsoft Defender for Endpoint – Possível uso malicioso de ferramenta de proxy ou tunelamento – Execução suspeita de PowerShell remoto Microsoft Defender for Cloud Apps – Login suspeito da ferramenta AADInternals |
| Exfiltração | – Coleta e roubo de dados de contas Azure Storage | Microsoft Defender for Cloud Defender for Resource Manager – Invocação suspeita de operação de ‘Coleta de Dados’ de alto risco detectada (Preview) Defender for Storage – O nível de acesso de contêiner blob de armazenamento potencialmente sensível foi alterado para permitir acesso público não autenticado – Contêineres de armazenamento publicamente acessíveis descobertos com sucesso – Contêineres de armazenamento publicamente acessíveis escaneados sem sucesso – Quantidade incomum de dados extraída de conta de armazenamento – Exclusão incomum em conta de armazenamento – Quantidade incomum de dados extraída de contêiner blob sensível – Número incomum de blobs extraídos de contêiner blob sensível – Token SAS incomum foi usado para acessar conta de armazenamento Azure de endereço IP público – Acesso externo suspeito a conta de armazenamento Azure com token SAS excessivamente permissivo – Operação externa suspeita a conta de armazenamento Azure com token SAS excessivamente permissivo – Acesso de endereço IP suspeito |
| Impacto | – Exclusão e criptografia em massa de recursos de armazenamento de dados Azure | Microsoft Defender XDR – Tentativa suspeita de exclusão de recursos de armazenamento de dados Azure por usuário com sessão ativa em dispositivo envolvido em tentativa de roubo de credencial Microsoft Defender for Cloud Defender for Resource Manager – Exclusão suspeita de recurso de backup (Preview) – Invocação suspeita de operação de ‘Impacto’ de alto risco detectada (Preview) Defender for Storage – Exclusão incomum em conta de armazenamento |
Relatórios de inteligência de ameaças
Clientes Microsoft podem usar os seguintes relatórios em produtos Microsoft para obter as informações mais atualizadas sobre o agente de ameaças, atividade maliciosa e técnicas discutidas neste blog. Esses relatórios fornecem a inteligência, informações de proteção e ações recomendadas para prevenir, mitigar ou responder a ameaças associadas encontradas nos ambientes dos clientes.
Microsoft Defender XDR threat analytics
• Perfil do Agente: Storm-0501
• Perfil da Atividade: Ransomware actor Storm-0501 expands to hybrid cloud environments
Clientes Microsoft Security Copilot também podem usar a integração do Microsoft Security Copilot no Microsoft Defender Threat Intelligence, seja no portal autônomo Security Copilot ou na experiência incorporada no portal Microsoft Defender para obter mais informações sobre esse agente de ameaças.
Consultas de caça
Microsoft Defender XDR
Clientes Microsoft Defender XDR podem executar a seguinte consulta para encontrar atividade relacionada em suas redes:
Atividade de Login
Explorar atividade de login do IdentityLogonEvents, procurar por comportamento incomum, como logins de endereços IP recentemente vistos ou logins em novos aplicativos que não são relacionadas à sincronização:
IdentityLogonEvents| where Timestamp > ago(30d)| where AccountDisplayName contains "On-Premises Directory Synchronization Service Account"| extend ApplicationName = tostring(RawEventData.ApplicationName)| project-reorder Timestamp, AccountDisplayName, AccountObjectId, IPAddress, ActionType, ApplicationName, OSPlatform, DeviceType |
Atividade da conta de sincronização é normalmente repetitiva, proveniente do mesmo endereço IP para o mesmo aplicativo. Qualquer desvio do fluxo natural merece ser investigado. Os aplicativos em nuvem que geralmente são acessados pela conta de sincronização do Microsoft Entra ID são o Microsoft Azure Active Directory Connect, o Windows Azure Active Directory e o Microsoft Online Syndication Partner Portal.
Atividade na Nuvem
Explorar a atividade de nuvem (ActionType) da conta de sincronixação. Semelhante à atividade de login, esta conta por natureza realiza um determinado conjunto de ações incluindo atualização de usuário, atualização de dispositivo e assim por diante. Atividades novas e incomuns desse usuário pode indicar uso interativo da conta, que pode ser ação legítima de alguém na organização ou ação maliciosa de um agente de ameaças.
CloudAppEvents| where Timestamp > ago(30d)| where AccountDisplayName has "On-Premises Directory Synchronization Service Account"| extend Workload = RawEventData.Workload| project-reorder Timestamp, IPAddress, AccountObjectId, ActionType, Application, Workload, DeviceType, OSPlatform, UserAgent, ISP |
Preste muita atenção às ações de diferentes tipos de dispositivos ou plataformas operacionais. Este serviço automatizado de conta é executado a partir de uma máquina específica, portanto, não deve haver nenhuma variação nesses campos.
Eventos de gerenciamento Azure
Explorar eventos de gerenciamento Azure consultando a nova tabela CloudAuditEvents na pesquisa avançada no portal Defender. A coluna OperationName indica o tipo de evento de plano de controle executado pelo usuário.
let Storm0501Operations = dynamic([//Microsoft.Authorization"Microsoft.Authorization/elevateAccess/action","Microsoft.Authorization/roleAssignments/write","Microsoft.Authorization/locks/delete",//Microsoft.Storage"Microsoft.Storage/storageAccounts/write","Microsoft.Storage/storageAccounts/listkeys/action","Microsoft.Storage/storageAccounts/delete","Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete","Microsoft.Storage/storageAccounts/encryptionScopes/write",//Microsoft.Compute"Microsoft.Compute/snapshots/delete","Microsoft.Compute/restorePointCollections/delete",//Microsoft.RecoveryServices"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/delete",//Microsoft.KeyVault"Microsoft.KeyVault/vaults/write"]);CloudAuditEvents| where Timestamp > ago(30d)| where AuditSource == "Azure" and DataSource == "Azure Logs"| where OperationName in~ (Storm0501Operations)| extend EventName = RawEventData.eventName| extend UserId = RawEventData.principalOid, ApplicationId = RawEventData.applicationId| extend Status = RawEventData.status, SubStatus = RawEventData.subStatus| extend Claims = parse_json(tostring(RawEventData.claims))| extend UPN = Claims["http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"]| extend AuthMethods = Claims["http://schemas.microsoft.com/claims/authnmethodsreferences"]| project-reorder ReportId, EventName, Timestamp, UPN, UserId, AuthMethods, IPAddress, OperationName, AzureResourceId, Status, SubStatus, ResourceId, Claims, ApplicationId |
Exposição de recursos e usuários
Explorar os recurso do Microsoft Security Exposure Management consultando as tabelas ExposureGraphNodes e ExposureGraphEdges na busca avançada no portal Defender. Utilizando essas tabelas, você pode identificar ativos críticos, incluindo contas Azure Storage que contêm dados sensíveis ou protegidos por uma política de armazenamento imutável. Todas as regras de criticidade predefinidas podem ser encontradas aqui: Classificações Predefinidas.
ExposureGraphNodes| where NodeLabel =~ "microsoft.storage/storageaccounts"// Criticality check| extend CriticalityInfo = NodeProperties["rawData"]["criticalityLevel"]| where isnotempty( CriticalityInfo)| extend CriticalityLevel = CriticalityInfo["criticalityLevel"]| extend CriticalityLevel = case( CriticalityLevel == 0, "Critical", CriticalityLevel == 1, "High", CriticalityLevel == 2, "Medium", CriticalityLevel == 3, "Low", "")| extend CriticalityRules = CriticalityInfo["ruleNames"]| extend StorageContainsSensitiveData = CriticalityRules has "Databases with Sensitive Data"| extend ImmutableStorageLocked = CriticalityRules has "Immutable and Locked Azure Storage"// Exposure check| extend ExposureInfo = NodeProperties["rawData"]["exposedToInternet"]| project-reorder NodeName, NodeId, CriticalityLevel, CriticalityRules, StorageContainsSensitiveData, ImmutableStorageLocked, ExposureInfo |
A seguinte consulta pode identificar usuários críticos que são principalmente atribuídos com funções Microsoft Entra privilegiadas, incluindo Global Administrator:
ExposureGraphNodes| where NodeLabel =~ "user"| extend UserId = NodeProperties["rawData"]["accountObjectId"]| extend IsActive = NodeProperties["rawData"]["isActive"]// Criticality check| extend CriticalityInfo = NodeProperties["rawData"]["criticalityLevel"]| where isnotempty(CriticalityInfo)| extend CriticalityLevel = CriticalityInfo["criticalityLevel"]| extend CriticalityLevel = case( CriticalityLevel == 0, "Critical", CriticalityLevel == 1, "High", CriticalityLevel == 2, "Medium", CriticalityLevel == 3, "Low", "")| extend CriticalityRules = CriticalityInfo["ruleNames"]| extend GlobalAdministrator = CriticalityRules has "Global Administrator"| project-reorder NodeName, NodeId, UserId, IsActive, CriticalityLevel, CriticalityRules, GlobalAdministrator |
Omri Refaeli, Karam Abu Hanna, and Alon Marom
Saiba mais
Para as últimas pesquisas de segurança da comunidade Microsoft Threat Intelligence, confira o Microsoft Threat Intelligence Blog.
Para ser notificado sobre novas publicações e se juntar a discussões nas redes sociais, nos siga no LinkedIn, X (Ex-Twitter) e Bluesky.
Para ouvir histórias e insights da comunidade Microsoft Threat Intelligence sobre o cenário de ameaças em constante evolução, ouça o podcast Microsoft Threat Intelligence.