«Полностью невидимый»
Эксперты компании SafeBreach продемонстрировали возможность создания полностью необнаруживаемого криптомайнера для облачных сред. Эта идея очевидным образом должна вызвать напряжение как у облачных вендоров, так и у их клиентов.
Предложенный экспериментальный криптомайнер злоупотребляет службой Microsoft Azure Automation, оставаясь невидимым.
Эксперты SafeBreach заявили, что обнаружили сразу три новых способа запуска такого майнера. Один из них позволяет незаметно внедрить его в клиентскую среду, не привлекая никакого внимания.
«В то время как данное исследование имеет большое значение из-за своего потенциального влияния на генерацию криптовалют в целом, мы подозреваем, что оно окажет воздействие и на другие сферы, поскольку те же методы можно применять для запуска любой задачи, подразумевающей исполнение кода в среде Azure», - заявил эксперт по информационной безопасности компании SafeBreach Ариэл Гамриан (Ariel Gamrian).
Исследование, опубликованное SafeBreach, сосредоточено в основном на поиск «идеального криптомайнера», который предложит неограниченный доступ к вычислительным ресурсам, потребует минимального или нулевого обслуживания, не будет стоить ничего, и не будет поддаваться обнаружению.
Особенности Azure Automation
Реализовать это удалось с помощью определённых особенностей службы облачной автоматизации Azure Automation. Эта служба помогает автоматизировать создание, развёртывание, мониторинг и поддержку ресурсов в Azure.
Эксперты SafeBreach заявили, что нашли баг в калькуляторе стоимости Azure, который позволял параллельно запуcкать неограниченное количество задач совершенно бесплатно, хотя и только в локальной среде (то есть, принадлежащей злоумышленнику).
Microsoft вскоре исправила проблему, отмечает издание The Hacker News.
Ещё один метод сводится к пробному запуску задачи майнинга, и немедленному присвоению ему «провального» статуса (failed); сразу за этим можно создать ещё один такой пробный запуск и воспользоваться тем фактом, что в каждый момент времени может существовать только один «пробник».
В итоге запуск нужного кода можно спрятать в среде Azure до полной невидимости.
Потенциальный злоумышленник может воспользоваться этими методами, установив обратное шелл-соединение с внешним сервером и авторизовавшись на эндпойнте, где функционирует служба автоматизации.
Третий путь
Опаснее всего выглядит третий метод: потенциальный злоумышленник может воспользоваться штатной функцией, позволяющей загружать с помощью Azure Automation произвольные пакеты Python.
«Мы могли создать вредонсный пакет под названием pip и загрузить его в аккаунт Automation. В результат такой подгрузки легитимный пакет pip оказывался перезаписанным нашим вариантом. И после этого служба использовала его при каждой подгрузке новых пакетов», - поясняет Гамриан.
SafeBreach опубликовали экспериментальный майнер CloudMiner, который захватывает свободные вычислительные мощности в Azure Automation, используя механизм загрузки пакетов Python.
В Microsoft заявили, что это плановое поведение системы, а значит, у потенциальных злоумышленников сохраняется возможность использовать эти свободные мощности для генерации криптовалют - причем бесплатно.
«Паразитный криптомайнер, который нельзя обнаружить, это кошмарный сценарий и для пользователей облачных мощностей и для вендоров», - говорит эксперт по информационной безопасности компании SEQ Дмитрий Пешков. По его словам, он будет расходовать свободные, но небесплатные ресурсы облака, нанося потенциально неограниченный ущерб. «Ну, а неприятнее всего то, что как минимум один метод применения криптомайнера использует штатные функции Azure, которые исправлены не будут - то есть, вектор останется открытым в течение неограниченного времени», - подытожил Дмитрий Пешков.
Исследование пока что ограничилось криптомайнинговыми злоупотреблениями в рамках Azure. Специалисты SafeBreach уверены в возможности использовать те же методики в других целях, подразумевающих запуск произвольного кода в облачных средах Microsoft.
В компании настоятельно рекомендуют проактивно отслеживать все ресурсы и любые действия, осуществляемые в облачных средах, и исследовать косвенные признаки присутствия майнера. В первую очередь обращать внимание стоит на запуск характерного кода - потому что напрямую его найти не получится.