Azure Security Center 如何揭開可疑的 PowerShell 攻擊

撰 /Greg Cottingham, Cloud Security Investigations & Intelligence – Microsoft Azure Security 為了紀念國家網絡安全意識月(NCSAM),我們在這系列發布了一個新帖子,重點介紹 Azure 安全中心檢測、調查和緩解的實際攻擊。 這篇文章是關於使用 PowerShell 運行惡意代碼,並收集用戶憑證的攻擊。 但在我們開始之前,以下是系列中的其他貼文的回顧,其中安全中心檢測到: SQL 暴力攻擊 比特幣挖礦攻擊 使用網路威脅情報的 DDoS 攻擊 良好的應用程式被惡意使用 在這篇文章中,我們將介紹另一個有趣的現實攻擊場景,這個場景被 Azure 安全中心發現並由我們的團隊調查。受影響的公司名稱、所有計算機名稱和所有用戶名都已更改以保護隱私。 這種特殊攻擊採用 PowerShell 來運行內存中的惡意代碼,目的是通過密碼竊取,按鍵記錄,剪貼板抓取和屏幕捕獲來收集憑證信息。我們將列出以 RDP Force 攻擊開始、並導致在註冊表中設置和配置持續的自動啟動(ASEP)。本案例研究提供了有關攻擊動態的深入見解,以及如何檢測和防止您的環境中發生類似攻擊的建議。 初始 Azure 安全中心警報和詳細信息 只要互聯網連接的計算機遠程管理已經存在,黑客就會繼續努力發現遠程桌面協議(RDP)等遠程管理服務,以便他們可以通過強力攻擊破解密碼。 我們的案例從客戶的 Azure 安全中心控制台開始,提醒 RDP 暴力活動以及可疑的 PowerShell 活動。 在下面的Azure安全中心屏幕截圖中,您可以跟踪從下到上的按時間順序進展,因為“失敗的 RDP 暴力攻擊”警報之後是一個“成功的RDP暴力攻擊”警報 – 表示有人通過 RDP 猜到了用戶密碼。這個惡意的 Brute Force 登錄隨後會出現幾個關於異常…

0

Azure Security Center 如何使用機器學習來允許自適應應用程式控制

撰 / Ben Kliger, Senior Product Manager, Azure Security Center 儘管過去幾年威脅情況發生了遽變,但惡意軟體檢測依然是最大的問題之一。有一場無盡的競賽等著我們 – 攻擊者開發新的惡意軟體,所以安全廠商創建新的簽名來檢測它,然後攻擊者又創建新的惡意軟體變種以避免檢測…循環繼續。惡意軟體並不是唯一一種可能使服務器面臨風險的應用程式。未經授權的軟體可能會引入攻擊者利用的漏洞。大多數組織缺乏必要的應用程式跟踪和控制,使他們無視這些風險。   應用程式控制(例如白名單)可以限制易受攻擊的應用程式對惡意軟體的暴露。應用程式白名單不會與快速發展的惡意軟體和新漏洞保持同步,而是會阻止所有除了已知的良好應用程式以外的東西。對於通常運行一組固定應用程式的專用服務器,白名單可以提供顯著的附加保護。您可以使用應用程式控制來: 阻止新型和未知的惡意軟體。 遵守組織的安全策略,僅指定使用授權軟體。 避免舊的和不受支持的應用程式。 防止組織不允許的特定軟體工具。   雖然應用程式白名單的概念已經存在一段時間了,但它並沒有被廣泛使用。這是由於每個服務器或一組服務器創建和應用準確的白名單策略的複雜性,以及在大型環境中大規模管理這些策略所致。   Azure 安全中心最近發布了自適應應用程式控制,該應用程式控制採用創新方法應用白名單,使您能夠在不產生管理開銷的情況下實現安全優勢。機器學習用於分析 Azure VM 的行為,創建應用程式基線,將 VM 分組並確定它們是否適合應用程式白名單,並建議並自動應用適當的白名單規則。另外,安全中心還提供了可以利用這些應用程式繞過應用程式白名單解決方案的應用程式,並提供全面的管理和監控功能,通過這些功能,您可以更改現有的白名單(例如刪除/添加應用程式)並留意白名單上的違反項目。   自適應應用程式控件目前可用於在 Azure 中運行的 Windows 計算機(所有版本,經典或Azure資源管理器)。要開始使用,請打開安全中心並選擇應用程式白名單磁貼,如下所示。 選擇資源組以查看並應用推薦的應用程序白名單規則。 新規則通常被設置為審核模式,會向違反規則的應用程式發出警告,但您也可以編輯想更改的政策,以便使用強制模式阻止這些應用程序。 您也可以隨時編輯這些規則的詳細信息。   Azure Security Center Standard 的用戶可以使用自適應應用程序控製作為有限的公開預覽。( Please send an email with your subscription IDs to ASC_appcontrol@microsoft.com to join the…

0

公布更完善的備份和性能恢復功能,並且支援大型磁碟備份!

原文作者:Trinadh Kotturu/Senior Program Manager, Azure Backup 現在我們可以支援大型磁碟虛擬機備份,並且更新了一系列功能來縮短備份和復原的時間。這些更新是基於新的 VM backup stack,且可用於託管和非託管磁碟。您可以無縫升級到這個新的 stack,且不會對正在進行的備份作業產生任何影響,設定備份和還原的方式也不會有任何改變。 這次的更新包含以下幾項: 支援大磁碟-現在您可以備份託管和非託管之 4TB (4095 GB) 磁碟大小的虛擬機。 及時復原點-快照(備份的其中一項作業)一旦完成,即可使用復原點。這讓使用者不用等到備份資料傳輸完成,才觸發復原作業。這在您想要修補程式的情況下,特別有用。現在,您可以在快照階段完成後,繼續使用該修補程式,並且如果修補程式變差,則可以使用地端快照復原。這與 Hyper-V 或 VMware 提供的檢查點解決方案類似,它的優勢是,可以將快照安全的儲存在備份保管庫中。 備份和復原性能改善-快照現在可以保留七天。這可以幫助我們有效的計算兩個備份作業間的改變,進而縮短備份時間。這些快照也可以用來觸發復原。由於這些快照在地端可以使用,因此復原過程不必將資料從保管庫傳回儲存帳戶,從而將復原時間從幾小時縮短到幾分鐘。將保留的快照存在地端,將會在我們即將發布的版本裡提供。 分配已復原之虛擬機的磁碟-如果您用的是非託管虛擬機,您可能會注意到,在復原期間,我們將所有磁碟還原到同一個存儲帳戶。我們正在添加一項功能:您可以告訴我們需要將這些磁碟分配到和原始 VM 相同的一組存儲帳戶,來減少復原後所需的重新設定。 一起來開始操作: 您可以用 Azure Portal 或 PowerShell 來更新對新 Stack 的訂閱。這是一個單向的變化,將保留現有的所有策略和復原點。 門戶網站: 您將在 Recovery Services 保管庫儀表板上看到一個橫幅。點擊橫幅會看到一個螢幕,您可以升級 stack,並獲得以上功能更新。您可以從任何保管庫升級至完整的訂閱。升級後,預訂中的所有 VM 備份都會使用新 stack 進行備份。 PowerShell: 1. 登陸 Azure 帳戶 PS C:> Login-AzureRmAccount 2. 選擇您想要註冊升級的訂閱…

0

Azure DDoS Protection 服務預覽

這篇文章由  JR Mayberry, Principal PM Manager & Anupam Vij, Senior Program Manager, Azure Networking. 共同編撰。   客戶將其應用程序遷移到雲時,分佈式拒絕服務(DDoS)攻擊是最大的可用性和安全問題之一。根據 Nexusguard 的數據,2016 年第一季度記錄的 DDoS 攻擊數量比 2016 年第一季度增長了 380%,這些擔憂是合理的。 2016 年 10月,一些受歡迎的網站受到由多次拒絕服務攻擊組成的大規模網絡攻擊的影響。據估計,所有互聯網宕機事件中有三分之一與 DDoS 攻擊有關。 隨著網絡攻擊的類型和複雜程度的提高,Azure 致力於為我們的客戶提持續保護Azure上的應用程序安全性和可用性的解決方案。雲中的安全性和可用性是共同的責任。 Azure為客戶提供平台級功能和設計最佳實踐,以便採用並應用到滿足其業務目標的應用程序設計中。   今天,我們很高興地宣布 Azure DDoS Protection Standard 預覽。該服務與虛擬網路集成,並為受DosS攻擊影響的 Azure 應用程式提供保護。它可以在 Azure 平台自動包含的基本 DDoS 保護以外,實現其他特定應用的調整、警報和遙測功能。 Azure DDoS Protection Service offerings Azure DDoS Protection Basic service Protection Basic(基本保護)已經被默認整合到Azure平台中,無需額外成本。…

0

Azure Security Center 將高級威脅防護擴展到混合雲上的工作負載

原文撰 / Sarah Fender Principal Program Manager, Azure Cybersecurity Azure Security Center (安全中心) 可幫助您保護在 Azure 中運行的工作負載,使其免受網絡威脅,而它現在也可以用來保護在本地和其他雲中運行的工作負載了。在越來越分散的基礎架構中,管理安全性變的非常複雜,可能會造成攻擊者利用的漏洞。 而 Security Center 通過統一整個環境中的安全管理,並使用分析以及 Microsoft Intelligent Security Graph (智能安全圖) 提供智能威脅保護來降低這種複雜性。 從較簡化的管理,到新的阻斷與檢測威脅方法,Security Center 不斷地進行創新,以幫助您解決當今面臨的安全挑戰。 Microsoft Ignite 宣布的新功能包括: 輕鬆啟動混合雲工作負載:只需要在這些機器上安裝Microsoft Monitoring Agent (監控代理),您就可以將本地和其他雲中運行的虛擬機和計算機上崗。對於運營管理套件(OMS)安全與合規客戶,已連接的計算機將被安全中心自動發現並監控。了解有關新手入門混合雲工作負載的更多信息。 企業範圍的安全策略:利用 Azure Policy,現在在有限的預覽中,可以使用管理組跨多個訂閱應用安全中心策略。 這將大大簡化具有企業協議和許多 Azure 訂閱的客戶的策略管理,有助於確保安全策略始終適用於所有 Azure 工作負載。 還可以將策略應用於在本地和其他雲中運行的工作負載,以實現簡單的集中管理。 自適應應用程序控制:安全中心自適應應用程式控制現在處於有限預覽狀態,通過應用適合您的特定工作負載並以機器學習為動力的白名單規則,幫助阻止惡意軟件和其他有害或潛在易受攻擊的應用程序。 通過分析Azure虛擬機上運行的應用程序(目前僅限於Windows),安全中心可以推薦並應用針對特定虛擬機或一組虛擬機定制的一組應用程序白名單規則,從而提高白名單的準確性,同時降低管理複雜性。 針對Windows和Linux的高級威脅檢測:增強現有的威脅檢測功能後,安全中心很快將推出由Windows Defender Advanced Threat Protection(ATP)提供支持的檢測。 為 Windows端點構建的高級後檢測漏洞檢測將擴展到 Windows 服務器,並在安全中心提供。新的檢測結果將包含在安全中心標準中,並在您的機載資源時自動啟用。預覽將在年底之前提供。…

0

針對 Linux 虛擬機,利用 Azure Backup 持續備份應用程式

原文章作者:Anurag Mehrotra 今天想告訴大家的是,利用 Azure Backup,針對 Azure 上 Linux VM 的應用程式一致性備份現在已經正式推出了!去年就有這個功能的公開預覽版,很多客戶已經利用這個架構備份 Oracle、MySQL、Mongo DB、SAP HANA、PostGreSQL 等。 什麼是應用程式一致性備份? 應用程式一致性備份可以確保資料備份在事務上都一致,且應用程式在 VM 還原後,會隨著 VM 開機而啟動。為了確保備份的一致性,應用程式會被暫停,且在擷取 VM 快照時,不能有未完成的事務在運行。 Windows 有 Volume Snapshot Service (VSS) 框架來確保應用程式一致的 VM 備份,但是沒有針對 Linux 的通用框架。隨著越來越多人採用 Azure Linux VM,在 Azure VM 內運行關鍵企業應用程式備份的需求也不斷增加。我們引入了類似 VSS 的通用框架,來確保在任何 Linux 發行版上運行的 Linux 應用程式,都能有一致的 VM 應用程式備份。作為 VM 備份過程的一部分,該框架讓您可以彈性的的執行自訂前置指令碼和後置指令碼。這些指令碼可以在 VM 快照時,終止應用程式 IOs,以確保應用程式一致性。 事實上,該框架功能更強大,因為您可以透過調用本機的備份 API,作為 VM…

0

正式推出 Azure Site Recovery 全面性監控

Azure Site Recovery 是許多 Azure 客戶業務連續性策略的重要部分。客戶靠 Azure Site Recovery 來保護其重要 IT 系統、維護合規性,並確保其業務在發生災難時不會受到不利影響。 運行業務連續性計畫,並確保此計畫符合您組織的業務連續性目標是非常複雜的。了解計畫是否有效的唯一方法是做定期測試。即使做了定期測試,也依然無法完全確定它下一次可以無縫運作,因為可能有其他因素影響,例如:配置飄移 (configuration drift) 與資源可用性 (resource availability)。 在我們看來,監控不應如此困難。Azure Site Recovery 中的全面監控功能讓您可以從各方面了解業務連續性目標是否獲得滿足。此外,透過故障預備模型 (failover readiness model) 可以監控資源可用性,並根據最佳實踐效果提出配置建議,還可以協助告知您,如何準備好應對當前災難。 那麼,現在我們一起來看看有那些新功能吧~~!! 更完善的儲存庫概觀頁面:新的儲存庫概觀頁面包含一個儀表板,它展示了您需要了解的所有訊息,讓您可以知道您的業務連續性目標是否獲得滿足。除了解業務連續性計畫現階段運行狀況的資訊外,儀錶板內也會提供能展現最佳效果的建議,並內建可用於解決您潛在故障問題的工具。 複寫運行狀態模型:基於對各種複寫參數的評估、持續且即時地監控伺服器的複寫作業運行狀況。 簡化的疑難排除使用經驗:從儲存庫儀表板開始,使用直觀的導航體驗進一步深入了解各個組件,以及其他故障排除工具(包括用於複寫機器的全新儀表板)。 深入檢測異常問題的工具可用於偵測錯誤,並為修復提供規範性指導。 透過一流的監控,Azure Site Recovery 可為企業提供災難保險,並採用災難復原策略,在您最需要災難復原時,您可以使用它。 您可以觀看以下 demo 影片,來探索這個新的使用者體驗: 您可以從我們的文件中了解更多關於利用 Azure Site Recovery 進行監控和故障排除的訊息。 Azure Site Recovery 是一項涵蓋您遷移和災難復原需求的全方位服務。我們的任務是利用 Microsoft Azure 的強大功能實現災難復原民主化,以便讓您擁有涵蓋組織所有 IT 應用程式的災難復原計畫。 現在開始試用 Azure Site…

0

利用微軟 Azure 轉換您的 VMware 環境

每個企業、組織都很獨特,也都各自有其雲端策略:不管是傳輸資料、遷移基礎架構、升級應用程式,或建立新的應用程式,Azure 都能最大程度滿足您的雲計算需求。在這轉型的過程中,我們最常聽到的其中一個需求就是遷移現存的地端 VMware 工作負載至 Azure。這個任務包含遷移建立於 VMware 的應用程式並與 Azure 整合。 順利地將 VMware 環境移至 Azure 前陣子推出的新服務可以幫助您將 VMware 遷移至 Azure! 利用 Azure Migrate 遷移應用程式。前陣子我們正式推出了免費的 Azure Migrate 服務,任何 Azure 用戶都可以使用。大部分雲端廠商可能只有提供單一服務遷移功能,但 Azure Migrate 利用以下步驟可以幫助您遷移多重伺服器的應用程式: 偵測和評估。Azure Migrate 可以偵測您地端基於 VMware 的應用程式,且不需要改變您 VMware 的環境。Azure Migrate 提供了視覺化多重 VM 應用程式中各組相依關係的獨特功能,讓您可以有條理的對整個應用程式進行分組,和做優先順序評估,以進行遷移。藉由偵測 CPU、記憶體、磁碟、和網路,Azure Migrate 還內建了精簡的導引,提供您合適的機器大小與成本選擇,讓您可以節省成本。 利用 Azure Migrate 遷移功能視覺化全部應用程式的相依關係。一旦偵測完成後,只需要點幾下滑鼠,您就可以將地端應用程式遷移到 Azure。Azure Site Recovery (ASR) 讓用戶可以用最短的停機時間遷移 VMware 虛擬化的 Windows…

0

介紹 AKS (Kubernetes 管理) 與更完善的 Azure Container Registry

我們前陣子宣布了 AKS (Azure Container Service) 公開預覽版,這是我們新的 Kubernetes 管理服務。這個服務讓您可以更有效率的管理並運行您的 Kubernetes 環境,且不會犧牲其可攜性 (portability)。這個新服務為開發人員和叢集 (cluster) 營運商提供了 Azure 託管的控制平台、自動升級、自我修復、輕鬆延展,以及簡單的用戶體驗。有了 AKS,客戶可以從開源 Kubernetes 中獲益,且不會增加複雜性和營運開銷。 以下展示中,您可以看到配置新的 AKS 叢集是很容易的,將叢集從 Kubernetes 1.7.7 升級到 1.8.1,並將叢集從 3 個擴展到 10 個節點。 為了幫助您入門,AKS 是免費的。您只需支付會為您業務增值的虛擬機。與其他雲端服務供應商不同,針對基礎架構管理,他們每小時收費;然而對於 Kubernetes 叢集管理,AKS 不會向您收任何費用。您可以看下面這部影片,來了解為何 AKS 適合您,現在就來免費試用 AKS 吧~~ 自 2015 以來就已經有 Azure Container Service,且支援多種容器協調系統與工具(container orchestrator),現在介紹的這些新功能和創新的訂價規則主要是針對 Kubernetes,它已經成為容器協作 (container orchestration) 的開源標準。Kubernetes 獨特的社群活躍度與其可攜性,讓它可以作為理想的協調工具標準。而 Kubernetes 的共同創辦人 Brendan Burns 現在是微軟…

0

Azure Migrate 已經正式推出–更有效率地將系統遷移至雲端!!

Azure Migrate 是一個新的服務,前面有一篇簡單介紹了它,它簡化了遷移至 Azure 的過程。現在我們宣布,Azure Migrate 已經正式推出了!! Azure Migrate 不收取額外費用,且它提供基於設備、無須在每部主機上安裝軟體即可發掘 (agentless discovery) 您地端環境的功能。現在它能偵測基於 VMware 的 虛擬 Windows 和 Linux 虛擬機,未來預計還可以用於 Hyper-V 環境。它也提供另一個選擇:基於代理器 (agent-based) 來偵測機器間的相依關係圖,以便識別多層式的用程式。這讓您可以從三個角度規畫您的移轉: 準備就緒:思考原先承載您多層式應用程式的機器是否適合在 Azure 上運行? 合適規格:根據您機器的設定和利用,思考您的 Azure VM 應該要選用多大呢? 成本:考慮到 Azure Hybrid Benefit 等折扣,您可以預估一下您的 Azure 成本會是多少? 感謝之前有用公開預覽版的各位,正式推出的版本新增了以下幾個功能: 基於設定調整機器尺寸:根據配置設定還原機器的大小,例如:CPU 內核數量、記憶體大小,以及基於 CPU、記憶體、磁碟等利用率。 信心等級評估:利用星級評分來區別哪些數據點 (data points) 利用率更高,哪些數據點利用率較低。 免費的相依性關係圖:可以視覺化多層式應用程式彼此的相依關係,且使用 Service Map 無須額外收費。 更多目標區域:針對遷移至中國大陸、德國、印度這些目標區域評估您的機器。您可以在以下兩個區域建立遷移專案:美國中西部和美東。但您可以將資料遷移到 30 個任一有支援的目標區域。 我們會不斷增加新功能來幫助您做遷移,此外也有其他服務可以協助您:Azure Site…

0