Спецпроекты

ПО Софт Безопасность Бизнес Цифровизация Инфраструктура Техника

Облачная инфраструктура на Microsoft Azure может быть заражена «полностью необнаруживаемым майнером»

Эксперты компании SafeBreach определили сразу три разных способа запускать криптомайнер в облаке Azure, не вызывая реакции защитных систем.

«Полностью невидимый»

Эксперты компании SafeBreach продемонстрировали возможность создания полностью необнаруживаемого криптомайнера для облачных сред. Эта идея очевидным образом должна вызвать напряжение как у облачных вендоров, так и у их клиентов.

Предложенный экспериментальный криптомайнер злоупотребляет службой Microsoft Azure Automation, оставаясь невидимым.

Эксперты SafeBreach заявили, что обнаружили сразу три новых способа запуска такого майнера. Один из них позволяет незаметно внедрить его в клиентскую среду, не привлекая никакого внимания.

Служба Microsoft Azure Automation уязвима к необнаруживаемым майнерам

«В то время как данное исследование имеет большое значение из-за своего потенциального влияния на генерацию криптовалют в целом, мы подозреваем, что оно окажет воздействие и на другие сферы, поскольку те же методы можно применять для запуска любой задачи, подразумевающей исполнение кода в среде Azure», - заявил эксперт по информационной безопасности компании SafeBreach Ариэл Гамриан (Ariel Gamrian).

Исследование, опубликованное SafeBreach, сосредоточено в основном на поиск «идеального криптомайнера», который предложит неограниченный доступ к вычислительным ресурсам, потребует минимального или нулевого обслуживания, не будет стоить ничего, и не будет поддаваться обнаружению.

Особенности Azure Automation

Реализовать это удалось с помощью определённых особенностей службы облачной автоматизации Azure Automation. Эта служба помогает автоматизировать создание, развёртывание, мониторинг и поддержку ресурсов в Azure.

Эксперты SafeBreach заявили, что нашли баг в калькуляторе стоимости Azure, который позволял параллельно запуcкать неограниченное количество задач совершенно бесплатно, хотя и только в локальной среде (то есть, принадлежащей злоумышленнику).

Microsoft вскоре исправила проблему, отмечает издание The Hacker News.

Ещё один метод сводится к пробному запуску задачи майнинга, и немедленному присвоению ему «провального» статуса (failed); сразу за этим можно создать ещё один такой пробный запуск и воспользоваться тем фактом, что в каждый момент времени может существовать только один «пробник».

В итоге запуск нужного кода можно спрятать в среде Azure до полной невидимости.

Потенциальный злоумышленник может воспользоваться этими методами, установив обратное шелл-соединение с внешним сервером и авторизовавшись на эндпойнте, где функционирует служба автоматизации.

Третий путь

Опаснее всего выглядит третий метод: потенциальный злоумышленник может воспользоваться штатной функцией, позволяющей загружать с помощью Azure Automation произвольные пакеты Python.

«Мы могли создать вредонсный пакет под названием pip и загрузить его в аккаунт Automation. В результат такой подгрузки легитимный пакет pip оказывался перезаписанным нашим вариантом. И после этого служба использовала его при каждой подгрузке новых пакетов», - поясняет Гамриан.

SafeBreach опубликовали экспериментальный майнер CloudMiner, который захватывает свободные вычислительные мощности в Azure Automation, используя механизм загрузки пакетов Python.

В Microsoft заявили, что это плановое поведение системы, а значит, у потенциальных злоумышленников сохраняется возможность использовать эти свободные мощности для генерации криптовалют - причем бесплатно.

«Паразитный криптомайнер, который нельзя обнаружить, это кошмарный сценарий и для пользователей облачных мощностей и для вендоров», - говорит эксперт по информационной безопасности компании SEQ Дмитрий Пешков. По его словам, он будет расходовать свободные, но небесплатные ресурсы облака, нанося потенциально неограниченный ущерб. «Ну, а неприятнее всего то, что как минимум один метод применения криптомайнера использует штатные функции Azure, которые исправлены не будут - то есть, вектор останется открытым в течение неограниченного времени», - подытожил Дмитрий Пешков.

Исследование пока что ограничилось криптомайнинговыми злоупотреблениями в рамках Azure. Специалисты SafeBreach уверены в возможности использовать те же методики в других целях, подразумевающих запуск произвольного кода в облачных средах Microsoft.

В компании настоятельно рекомендуют проактивно отслеживать все ресурсы и любые действия, осуществляемые в облачных средах, и исследовать косвенные признаки присутствия майнера. В первую очередь обращать внимание стоит на запуск характерного кода - потому что напрямую его найти не получится.

Роман Георгиев

Короткая ссылка