Các tác nhân đe dọa đang ngày càng nhắm mục tiêu vào Azure Blob Storage, giải pháp lưu trữ đối tượng hàng đầu của Microsoft, để xâm nhập vào các kho lưu trữ của tổ chức và làm gián đoạn các tác vụ quan trọng. Sự gia tăng các chiến dịch tấn công Azure Blob Storage nhằm rò rỉ dữ liệu quy mô lớn đang đặt ra thách thức đáng kể cho an ninh mạng doanh nghiệp.

Với khả năng xử lý exabyte dữ liệu phi cấu trúc cho AI, điện toán hiệu năng cao, phân tích, truyền phát đa phương tiện, sao lưu doanh nghiệp và thu thập dữ liệu IoT, Blob Storage đã trở thành một vector hấp dẫn.

Các chiến dịch tinh vi nhằm mục đích đánh cắp, làm hỏng hoặc tống tiền dữ liệu ở quy mô lớn đang ngày càng tận dụng nền tảng này.

Lý Do Azure Blob Storage Trở Thành Mục Tiêu Hấp Dẫn

Trong những tháng gần đây, các nhà nghiên cứu bảo mật đã ghi nhận sự gia tăng các cuộc tấn công khai thác cấu hình sai, thông tin xác thực bị lộ và kiểm soát truy cập yếu để xâm nhập vào các tài khoản Blob Storage.

Các vùng chứa (container) được công khai thường xuyên bị liệt kê bằng cách thăm dò DNS và HTTP header, vét cạn các hoán vị tên miền phụ, và sử dụng các công cụ lập chỉ mục chuyên dụng.

Khi tên tài khoản lưu trữ hoặc URL vùng chứa hợp lệ được phát hiện, những kẻ tấn công sẽ tìm kiếm trong các kho mã nguồn, tệp cấu hình và lịch sử phiên bản để tìm khóa tài khoản lưu trữ, mã thông báo Shared Access Signatures (SAS) hoặc thông tin xác thực Service Principal.

Những thông tin xác thực này thường cấp quyền đọc, ghi và xóa đầy đủ, cho phép các tác nhân đe dọa thiết lập chỗ đứng ban đầu và leo thang đặc quyền trong môi trường đám mây.

Tấn Công Bằng Mã Độc Và Trang Lừa Đảo

Ngoài việc đánh cắp dữ liệu, những kẻ tấn công còn tận dụng Blob Storage để lưu trữ các payload độc hại và các trang đăng nhập giả mạo.

Các nhóm đe dọa đã được quan sát thấy việc chèn các tài liệu kích hoạt macro, tệp thực thi hoặc bộ dữ liệu máy học bị nhiễm độc vào các vùng chứa.

Những vùng chứa này có thể bị bỏ ngỏ để truy cập ẩn danh hoặc được bảo mật bằng các mã thông báo SAS quá rộng quyền.

Nạn nhân tải xuống các tài nguyên này có nguy cơ thực thi mã độc có thể lây lan qua Azure Functions, Logic Apps hoặc các đường ống dữ liệu hạ nguồn, kích hoạt di chuyển ngang qua các đăng ký và nhóm tài nguyên.

Chuỗi Tấn Công Chi Tiết Vào Azure Blob Storage

Việc ánh xạ chuỗi tấn công Azure Blob Storage cho thấy nhiều giai đoạn mà các nhà phòng thủ phải áp dụng các biện pháp kiểm soát có mục tiêu.

Reconnaissance (Trinh Sát)

Trong giai đoạn trinh sát, các công cụ như Goblob và QuickAZ tự động liệt kê các vùng chứa.

Các mô hình ngôn ngữ hỗ trợ AI tạo ra các tên tài khoản và vùng chứa có khả năng để cải thiện tỷ lệ thành công của việc vét cạn.

Resource Development (Phát Triển Tài Nguyên)

Ở giai đoạn phát triển tài nguyên, những kẻ tấn công khai thác các cài đặt nhận dạng bị cấu hình sai để tạo các đối tượng độc hại, lưu trữ các trang lừa đảo hoặc làm nhiễm độc dữ liệu đào tạo.

Initial Access (Truy Cập Ban Đầu)

Truy cập ban đầu thường xảy ra thông qua các quy trình làm việc được kích hoạt bởi blob như Azure Functions hoặc đăng ký Event Grid.

Các tác nhân đe dọa tạo ra các tệp độc hại có thể chiếm quyền điều khiển tự động hóa đáng tin cậy, kích hoạt thực thi mã trái phép dưới danh tính được quản lý.

Persistence (Duy Trì Quyền Truy Cập)

Sự kiên trì được duy trì bằng cách tạo các mã thông báo SAS rộng quyền với thời gian hết hạn kéo dài, thay đổi chính sách vùng chứa cho truy cập ẩn danh.

Ngoài ra, việc tận dụng Azure Hound hoặc AADInternals để nhúng các backdoor có khả năng chống lại việc xoay khóa và đặt lại mật khẩu cũng là một phương pháp.

Evasion (Né Tránh Phòng Thủ)

Để né tránh các biện pháp phòng thủ, những kẻ tấn công thao túng các quy tắc mạng, tắt tính năng ghi nhật ký chẩn đoán và phân phối các yêu cầu trên nhiều khu vực.

Collection & Exfiltration (Thu Thập & Đánh Cắp Dữ Liệu)

Các giai đoạn thu thập và lấy cắp dữ liệu khai thác băng thông cao và mạng nội bộ của Azure. Kẻ tấn công sử dụng AzCopy, Azure Storage Explorer hoặc các lệnh gọi REST API để chuyển một lượng lớn dữ liệu nhạy cảm.

Dữ liệu được chuyển vào các vùng chứa trung gian dưới sự kiểm soát của chúng, dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm.

Lưu trữ website tĩnh của vùng chứa $web cung cấp một đường dẫn lấy cắp dữ liệu ẩn, trong khi các chính sách sao chép đối tượng có thể truyền các payload độc hại đến các tài khoản đích đáng tin cậy.

Điều này cho phép các cuộc tấn công kiểu chuỗi cung ứng. Việc sử dụng thông minh siêu dữ liệu blob làm kênh chỉ huy và kiểm soát (C2) càng chứng tỏ tính linh hoạt của việc lạm dụng Blob Storage.

Các Biện Pháp Phòng Thủ Và Tăng Cường An Ninh Mạng

Nhận thức được những mối đe dọa đang phát triển này, Sáng kiến Tương lai An toàn của Microsoft đã tích hợp các tính năng bảo mật mặc định và liên tục cập nhật ma trận đe dọa MITRE ATT&CK cho lưu trữ đám mây.

Tuy nhiên, các tổ chức phải triển khai một nền tảng bảo mật mạnh mẽ để bảo vệ lớp dữ liệu. Các thực hành tốt nhất bao gồm:

• Thực thi truy cập theo nguyên tắc đặc quyền tối thiểu thông qua kiểm soát truy cập dựa trên vai trò (RBAC) của Azure Entra và các chính sách dựa trên thuộc tính (ABAC).
• Hạn chế phơi bày công khai bằng cách tắt truy cập ẩn danh ở cấp vùng chứa.
• Áp dụng các nguyên tắc Zero Trust cho xác thực tài nguyên.

Các biện pháp bảo vệ mạng như điểm cuối riêng tư (private endpoints), quy tắc mạng ảo và mã hóa TLS bắt buộc bảo vệ dữ liệu đang truyền tải.

Trong khi đó, mã hóa phía dịch vụ và mã hóa kép tùy chọn bảo vệ dữ liệu khi lưu trữ. Các chính sách bất biến (immutability policies), xóa mềm (soft delete) và lập phiên bản bảo vệ chống lại các sửa đổi trái phép và tạo điều kiện phục hồi nhanh chóng.

Việc tích hợp Azure Storage với Microsoft Defender for Cloud và kích hoạt gói Defender for Storage cung cấp thông tin tình báo mối đe dọa theo thời gian thực, khám phá dữ liệu nhạy cảm và quét mã độc tự động.

Các cảnh báo của Defender for Storage phát hiện các mẫu truy cập bất thường, các nỗ lực lấy cắp dữ liệu và tải lên tệp độc hại trước khi chúng làm tổn hại đến các tác vụ hạ nguồn.

Bằng cách hiểu rõ các rủi ro duy nhất ở lớp lưu trữ dữ liệu và áp dụng các biện pháp kiểm soát nhiều lớp trên các khía cạnh nhận dạng, mạng, bảo vệ dữ liệu và giám sát, các tổ chức có thể giảm thiểu tác động của các cuộc tấn công Azure Blob Storage. Để biết thêm chi tiết về chuỗi tấn công, bạn có thể tham khảo blog bảo mật của Microsoft.

Khi các tác nhân đe dọa tiếp tục đổi mới, một tư thế phòng thủ chủ động, định hướng Zero Trust sẽ vẫn là điều cần thiết để bảo vệ các kho lưu trữ quan trọng và duy trì tính liên tục của hoạt động kinh doanh, đảm bảo an ninh mạng toàn diện.