Инструмент AzureHound: хакеры исследуют облачные среды и как этому противостоять

AzureHound представляет собой инструмент с открытым исходным кодом, написанный на языке Go и доступный для Windows, Linux и macOS. Он использует общедоступные программные интерфейсы (API) - Microsoft Graph и Azure REST API - для сбора данных об идентификационных записях, группах, ролях, разрешениях и ресурсах в среде Entra ID (ранее Azure AD) и Azure. Собранная информация сохраняется в формате JSON и может быть визуализирована в инструменте BloodHound, который графически отображает скрытые взаимосвязи и потенциальные векторы атаки.

Важно отметить, что для работы AzureHound не требуется прямое присутствие в целевой среде. Доступ к API возможен извне, что упрощает задачу злоумышленникам после получения первоначального доступа к учетным данным. Как показывают примеры августа 2025 года, такими группами, как иранская Curious Serpens или атакующая Void Blizzard, AzureHound применяется на этапе разведки после компрометации.

Действия, выполняемые AzureHound, соответствуют тактике Discovery в рамках модели MITRE ATT&CK. Среди ключевых методов - обнаружение учетных записей (T1087.004), где инструмент перечисляет пользователей, устройства и субъекты-службы; обнаружение групп разрешений (T1069.003), включая членство в административных ролях; а также обнаружение объектов облачного хранилища (T1619), служб (T1526) и облачной инфраструктуры (T1580). Например, команды вроде "list users", "list key-vaults" или "list storage-accounts" позволяют злоумышленникам быстро получить перечень ресурсов, определить их конфигурацию и выявить слабые места.

Собранные данные импортируются в BloodHound, где строятся наглядные графы, отображающие, например, всех пользователей с ролью Global Administrator или взаимосвязи между ключевыми хранилищами и подписками. Это ускоряет анализ и помогает атакующим выбрать оптимальный путь для продвижения вглубь инфраструктуры.

Для защиты от подобных сценариев необходим многоуровневый подход. Первая линия обороны - строгий контроль идентификации и доступа. Рекомендуется внедрение устойчивой к фишингу многофакторной аутентификации (MFA) для всех учетных записей, особенно привилегированных. Решения типа Privileged Identity Management (PIM) позволяют управлять правами администраторов по принципу наименьших привилегий. Политики условного доступа (Conditional Access Policies) могут ограничить использование инструментов вроде AzureHound, блокируя вызовы API с неподтвержденных устройств или мест.

Особое внимание следует уделить мониторингу активности API. Журналы Microsoft Graph Activity Logs, доступные с апреля 2024 года, позволяют отслеживать запросы к Graph API, включая те, что инициируются AzureHound. Однако часть операций, выполняемых через Azure REST API (например, перечисление учетных записей хранения), по умолчанию не фиксируется в журналах действий Azure. Это создает «слепые зоны» для защитников.

В таких условиях важную роль играет корреляция событий из разных источников: журналов входа Entra ID, аудита и, при возможности, данных от систем класса XDR (расширенное обнаружение и ответ). Например, можно выявлять подозрительные сессии, в которых один и тот же пользователь обращается к Graph API и управляющим конечным точкам Azure в короткий промежуток времени. Также полезно отслеживать аномально высокую активность вызовов API с одним user-agent (например, содержащим строку «azurehound»).

Таким образом, AzureHound демонстрирует, насколько серьезную угрозу представляют собой легитимные инструменты, попавшие в руки злоумышленников. Эффективная защита требует не только технических мер - мониторинга API, усиления аутентификации и сегментации прав, - но и глубокого понимания методов работы противника в облачных средах. Осведомленность и проактивный подход позволяют своевременно обнаруживать признаки разведки и предотвращать развитие кибератаки до наступления критических последствий.

User-agents

• azurehound/<version>