Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Облачная инфраструктура на Microsoft Azure может быть заражена «полностью необнаруживаемым майнером»


«Полностью невидимый»

Эксперты компании SafeBreach продемонстрировали возможность создания полностью необнаруживаемого криптомайнера для облачных сред. Эта идея очевидным образом должна вызвать напряжение как у облачных вендоров, так и у их клиентов.

Предложенный экспериментальный криптомайнер злоупотребляет службой Microsoft Azure Automation, оставаясь невидимым.

Эксперты SafeBreach заявили, что обнаружили сразу три новых способа запуска такого майнера. Один из них позволяет незаметно внедрить его в клиентскую среду, не привлекая никакого внимания.

Служба Microsoft Azure Automation уязвима к необнаруживаемым майнерам

«В то время как данное исследование имеет большое значение из-за своего потенциального влияния на генерацию криптовалют в целом, мы подозреваем, что оно окажет воздействие и на другие сферы, поскольку те же методы можно применять для запуска любой задачи, подразумевающей исполнение кода в среде Azure», - заявил эксперт по информационной безопасности компании SafeBreach Ариэл Гамриан (Ariel Gamrian).

Исследование, опубликованное SafeBreach, сосредоточено в основном на поиск «идеального криптомайнера», который предложит неограниченный доступ к вычислительным ресурсам, потребует минимального или нулевого обслуживания, не будет стоить ничего, и не будет поддаваться обнаружению.

Особенности Azure Automation

Реализовать это удалось с помощью определённых особенностей службы облачной автоматизации Azure Automation. Эта служба помогает автоматизировать создание, развёртывание, мониторинг и поддержку ресурсов в Azure.

Эксперты SafeBreach заявили, что нашли баг в калькуляторе стоимости Azure, который позволял параллельно запуcкать неограниченное количество задач совершенно бесплатно, хотя и только в локальной среде (то есть, принадлежащей злоумышленнику).

Microsoft вскоре исправила проблему, отмечает издание The Hacker News.

Ещё один метод сводится к пробному запуску задачи майнинга, и немедленному присвоению ему «провального» статуса (failed); сразу за этим можно создать ещё один такой пробный запуск и воспользоваться тем фактом, что в каждый момент времени может существовать только один «пробник».

В итоге запуск нужного кода можно спрятать в среде Azure до полной невидимости.

Потенциальный злоумышленник может воспользоваться этими методами, установив обратное шелл-соединение с внешним сервером и авторизовавшись на эндпойнте, где функционирует служба автоматизации.

Третий путь

Опаснее всего выглядит третий метод: потенциальный злоумышленник может воспользоваться штатной функцией, позволяющей загружать с помощью Azure Automation произвольные пакеты Python.

Обзор MSI PRO DP80: неттоп с качествами настольного компьютера

«Мы могли создать вредонсный пакет под названием pip и загрузить его в аккаунт Automation. В результат такой подгрузки легитимный пакет pip оказывался перезаписанным нашим вариантом. И после этого служба использовала его при каждой подгрузке новых пакетов», - поясняет Гамриан.

SafeBreach опубликовали экспериментальный майнер CloudMiner, который захватывает свободные вычислительные мощности в Azure Automation, используя механизм загрузки пакетов Python.

В Microsoft заявили, что это плановое поведение системы, а значит, у потенциальных злоумышленников сохраняется возможность использовать эти свободные мощности для генерации криптовалют - причем бесплатно.

«Паразитный криптомайнер, который нельзя обнаружить, это кошмарный сценарий и для пользователей облачных мощностей и для вендоров», - говорит эксперт по информационной безопасности компании SEQ Дмитрий Пешков. По его словам, он будет расходовать свободные, но небесплатные ресурсы облака, нанося потенциально неограниченный ущерб. «Ну, а неприятнее всего то, что как минимум один метод применения криптомайнера использует штатные функции Azure, которые исправлены не будут - то есть, вектор останется открытым в течение неограниченного времени», - подытожил Дмитрий Пешков.

Исследование пока что ограничилось криптомайнинговыми злоупотреблениями в рамках Azure. Специалисты SafeBreach уверены в возможности использовать те же методики в других целях, подразумевающих запуск произвольного кода в облачных средах Microsoft.

В компании настоятельно рекомендуют проактивно отслеживать все ресурсы и любые действия, осуществляемые в облачных средах, и исследовать косвенные признаки присутствия майнера. В первую очередь обращать внимание стоит на запуск характерного кода - потому что напрямую его найти не получится.