Azure 运行命令傻瓜式教程

asmani000

在 Mandiant 最近的博客文章中，我们详细介绍了可疑的俄罗斯入侵活动，这些活动以托管服务提供商 (MSP) 为目标，以获取对其客户云环境的访问权限。微软等其他公司也观察到针对多家云和托管服务提供商的客户的类似针对性活动。这些入侵中的一项值得注意的技术是使用 Azure Run Commands 从托管虚拟机管理程序横向移动到 MSP 客户的底层虚拟机。


这篇最新博客文章作为补充附件，重点介绍 Azure 运行命令，并主要从此类活动面临风险的虚拟机的角度提供缓解、搜寻和检测指南。由于其他博客文 B2B 电子邮件列表 章重点关注 Azure 日志和权限以及可以从这些来源了解什么，这里我们将更多地关注可以从虚拟机本身内部的证据源了解什么。

这种从 Azure 转向底层虚拟机 (VM) 的方法非常重要，原因如下：

Azure 帐户泄露可能会导致授予对底层虚拟机的完全访问权限，即使这些系统在虚拟层上进行分段也是如此。
通过 Azure 运行命令意味着可以轻松执行提升权限，而无需担心虚拟层的连接和授权。
在大多数情况下，攻击者的最终目标与虚拟级别有关，而不是虚拟机管理程序。例如，攻击者可能有兴趣窃取驻留在虚拟系统内的信息或加密数据和单个系统本身。虽然虚拟机管理程序级别的妥协可能允许攻击者绕过许多主机级别的检测和响应机制，但在攻击者追求其任务目标时仍然有机会识别他们。



Azure 运行命令
Azure Run Command 功能使管理员能够利用虚拟机代理在 Azure Windows 或 Linux 虚拟机上运行命令。默认情况下，该代理安装在从 Azure 市场映像部署的 Windows 和 Linux 虚拟机上，但可以禁用。

Azure 运行命令在 Microsoft 网站上有详细记录，位置如下：

使用操作运行命令在 Windows VM 中运行脚本
使用操作运行命令在 Linux VM 中运行脚本
Azure 管理员可以使用 Azure 门户用户界面、API、PowerShell 或 Azure 命令行界面来运行它们；每一个都将被演示如下。每个操作系统都有不同的命令类型，支持在虚拟机上执行任意脚本。