Οι ερευνητές αποκαλύπτουν μη ανιχνεύσιμη τεχνική εξόρυξης κρυπτογράφησης στον αυτοματισμό Azure

08 Νοεμβρίου 2023Γραφείο συντάξεως εφημερίδαςCloud Security / Κρυπτονόμισμα

Ερευνητές κυβερνοασφάλειας ανέπτυξαν αυτό που είναι ο πρώτος πλήρως μη ανιχνεύσιμος εξορύκτης κρυπτονομισμάτων που βασίζεται σε σύννεφο και αξιοποιεί τη Microsoft Azure Automation εξυπηρέτηση χωρίς επιβαρύνσεις.

Η εταιρεία κυβερνοασφάλειας SafeBreach είπε ότι ανακάλυψε τρεις διαφορετικές μεθόδους για τη λειτουργία του miner, συμπεριλαμβανομένης μιας που μπορεί να εκτελεστεί στο περιβάλλον ενός θύματος χωρίς να τραβήξει την προσοχή.

«Αν και αυτή η έρευνα είναι σημαντική λόγω του δυνητικού της αντίκτυπου στην εξόρυξη κρυπτονομισμάτων, πιστεύουμε επίσης ότι έχει σοβαρές επιπτώσεις και σε άλλους τομείς, καθώς οι τεχνικές θα μπορούσαν να χρησιμοποιηθούν για την επίτευξη οποιασδήποτε εργασίας που απαιτεί εκτέλεση κώδικα στο Azure», δήλωσε ο ερευνητής ασφαλείας Ariel Gamrian. είπε σε μια αναφορά που κοινοποιήθηκε στο The Hacker News.

Η μελέτη αποσκοπούσε κυρίως στον εντοπισμό ενός «απόλυτου εξορύκτη κρυπτογράφησης» που προσφέρει απεριόριστη πρόσβαση σε υπολογιστικούς πόρους, ενώ ταυτόχρονα απαιτεί ελάχιστη έως καθόλου συντήρηση, είναι χωρίς κόστος και μη ανιχνεύσιμο.

Εδώ μπαίνει το Azure Automation. Αναπτύχθηκε από τη Microsoft, είναι μια υπηρεσία αυτοματισμού που βασίζεται σε σύννεφο που επιτρέπει στους χρήστες να αυτοματοποιούν τη δημιουργία, την ανάπτυξη, την παρακολούθηση και τη συντήρηση πόρων στο Azure.

Το SafeBreach είπε ότι βρήκε ένα σφάλμα στο Αριθμομηχανή τιμών Azure Αυτό κατέστησε δυνατή την εκτέλεση ενός άπειρου αριθμού εργασιών εντελώς δωρεάν, αν και σχετίζεται με το ίδιο το περιβάλλον του εισβολέα. Η Microsoft έχει εκδώσει έκτοτε μια επιδιόρθωση για το πρόβλημα.

Μια εναλλακτική μέθοδος συνεπάγεται τη δημιουργία μιας δοκιμαστικής εργασίας για εξόρυξη, ακολουθούμενη από τον ορισμό της κατάστασής της ως “Αποτυχία” και στη συνέχεια τη δημιουργία μιας άλλης εικονικής δοκιμαστικής εργασίας εκμεταλλευόμενη το γεγονός ότι μόνο μία δοκιμή μπορεί να εκτελεστεί ταυτόχρονα.

Το τελικό αποτέλεσμα αυτής της ροής είναι ότι αποκρύπτει εντελώς την εκτέλεση κώδικα μέσα στο περιβάλλον Azure.

Ένας παράγοντας απειλής θα μπορούσε να αξιοποιήσει αυτές τις μεθόδους εγκαθιστώντας ένα αντίστροφο κέλυφος προς έναν εξωτερικό διακομιστή και επαληθεύοντας την ταυτότητα στο τελικό σημείο Αυτοματισμού για να επιτύχει τους στόχους του.

Επιπλέον, διαπιστώθηκε ότι η εκτέλεση κώδικα θα μπορούσε να επιτευχθεί αξιοποιώντας τη δυνατότητα του Azure Automation που επιτρέπει στους χρήστες να ανεβάζουν προσαρμοσμένα πακέτα Python.

«Θα μπορούσαμε να δημιουργήσουμε ένα κακόβουλο πακέτο με το όνομα «pip» και να το ανεβάσουμε στον λογαριασμό αυτοματισμού», εξήγησε ο Gamrian.

“Η ροή μεταφόρτωσης θα αντικαταστήσει το τρέχον pip στον λογαριασμό Αυτοματισμού. Αφού αποθηκευτεί το προσαρμοσμένο μας pip στον λογαριασμό Αυτοματισμού, η υπηρεσία το χρησιμοποιούσε κάθε φορά που ανέβαινε ένα πακέτο.”

Το SafeBreach έχει επίσης διαθέσει ένα proof-of-concept μεταγλωττισμένο CoinMiner που έχει σχεδιαστεί για να αποκτά δωρεάν υπολογιστική ισχύ στην υπηρεσία Azure Automation χρησιμοποιώντας τον μηχανισμό μεταφόρτωσης πακέτων Python.

Η Microsoft, ανταποκρινόμενη στις αποκαλύψεις, χαρακτήρισε τη συμπεριφορά ως “εκ του σχεδιασμού”, που σημαίνει ότι η μέθοδος μπορεί να χρησιμοποιηθεί ακόμα χωρίς χρέωση.

Ενώ το εύρος της έρευνας περιορίζεται στην κατάχρηση του Azure Automation για εξόρυξη κρυπτονομισμάτων, η εταιρεία κυβερνοασφάλειας προειδοποίησε ότι οι ίδιες τεχνικές θα μπορούσαν να επαναχρησιμοποιηθούν από τους φορείς απειλών για την επίτευξη οποιασδήποτε εργασίας που απαιτεί εκτέλεση κώδικα στο Azure.

«Ως πελάτες παρόχων cloud, οι μεμονωμένοι οργανισμοί πρέπει να παρακολουθούν προληπτικά κάθε μεμονωμένο πόρο και κάθε ενέργεια που εκτελείται στο περιβάλλον τους», είπε ο Gamrian.

“Συνιστούμε ανεπιφύλακτα στους οργανισμούς να εκπαιδεύονται σχετικά με τις μεθόδους και τις ροές που μπορούν να χρησιμοποιήσουν οι κακόβουλοι παράγοντες για να δημιουργήσουν μη ανιχνεύσιμους πόρους και να παρακολουθούν προληπτικά την εκτέλεση κώδικα που είναι ενδεικτική μιας τέτοιας συμπεριφοράς.”