СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.10.2025
#Dev#ИБ#Облака

AzureHound: обнаружение злоупотреблений и защита Azure

AzureHound: обнаружение злоупотреблений и защита Azure

Источник: unit42.paloaltonetworks.com

AzureHound — open source‑инструмент для сбора данных, изначально созданный для пентестеров и входящий в пакет BloodHound. Несмотря на законное назначение — повышение безопасности облачных сред — злоумышленники активно применяют AzureHound для картирования ресурсов Azure и поиска векторов компрометации после первоначального доступа к среде.

Что делает AzureHound и какие угрозы это создаёт

AzureHound собирает информацию через API Microsoft, в том числе через Microsoft Graph и Azure REST API, и позволяет злоумышленникам систематически выявлять инфраструктуру, учетные записи и хранилища данных. Полученная разведка используется для подготовки дальнейших этапов атак: сбора учетных записей, повышения привилегий, эксфильтрации конфиденциальной информации и внедрения в автоматизированные процессы.

Ключевые методы, задокументированные в MITRE ATT&CK framework

  • Изучение учетных записей (T1087.004) — позволяет злоумышленникам перечислять пользователей и сервисные учетные записи, составляя список потенциальных целей для кражи учетных данных и для последующих атак типа Impersonation.
  • Изучение групп разрешений (T1069.003) — выявление составов групп и их прав, что помогает находить учетные записи с возможностью расширения прав.
  • Изучение объектов облачного хранилища (T1619) — идентификация аккаунтов Azure Storage и контейнеров BLOB, где могут храниться конфиденциальные данные, с целью последующей эксфильтрации.
  • Изучение облачных служб (T1526) — поиск забытых или слабо контролируемых ресурсов, например конвейеров автоматизации, где злоумышленник может внедрить вредоносный код.
  • Изучение облачной инфраструктуры (T1580) — перечисление базовых ресурсов и связанных управляющих структур для понимания общей архитектуры и поиска точек для повышения привилегий.

От чего зависит эффективность AzureHound

Эффективность сбора данных AzureHound зависит от разрешений учетной записи, под которой он выполняется. Для доступа к определениям и назначениям политик нужна роль уровня Reader или выше на уровне группы ресурсов. Это подчёркивает ключевую необходимость строгого контроля доступа и принципа наименьших привилегий в средах Azure.

Примеры злоумышленников и их тактик

Аналитики связывают систематическое использование подобных инструментов с группами нападающих, такими как Curious Serpens и Void Blizzard. Они применяют AzureHound для построения карты облачной архитектуры, поиска учетных записей для эскалации и выявления критически важных данных для кражи или саботажа.

Растущее злоупотребление AzureHound злоумышленниками подчеркивает важность понимания его функциональных возможностей и необходимость строгого контроля доступа и ведения журнала для защиты сред Azure от компрометации.

Рекомендации по защите

Защитная стратегия должна быть многоуровневой и учитывать особенности работы AzureHound. Основные меры:

  • Применение принципа наименьших привилегий: ограничить роли и права пользователей, минимизировать число учетных записей с ролью Reader и выше.
  • Журналирование и мониторинг API: включить и эксплуатировать логи активности Microsoft Graph и системные логи Microsoft Entra ID, поскольку по умолчанию журналы активности Microsoft Graph не включены.
  • Экспорт логов в решения класса SIEM: настроить автоматическую интеграцию для корреляции событий и обнаружения атипичных паттернов, связанных с AzureHound.
  • Использование продвинутых поисковых запросов и правил обнаружения для расследования конкретных вызовов API и цепочек действий, характерных для AzureHound.
  • Защита конечных точек и CI/CD: мониторить и защищать конвейеры автоматизации, где злоумышленник может выполнить внедрение вредоносного кода, и ограничивать служебные идентификаторы, имеющие широкие полномочия.
  • Регулярные аудиты и реконсилиация разрешений: периодически проверять роли и назначения политик на уровне подписок и групп ресурсов.

Вывод

AzureHound остаётся полезным инструментом для легитимных тестов безопасности, однако его возможности также привлекают злоумышленников. Для защиты облачных сред Azure необходима комбинация строгого контроля доступа, всестороннего журналирования и активного мониторинга API‑действий. Только такой подход обеспечит видимость и возможности для своевременного обнаружения и реагирования на использование инструментов вроде AzureHound.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: