Представлен незаметный криптомайнер, готовый использовать чужие мощности для заработка.
Компания SafeBreach создала первый полностью необнаруживаемый облачный майнер криптовалют, который эксплуатирует сервис автоматизации Microsoft Azure, причем без каких-либо затрат. Существует 3 метода запуска майнера, один из которых способен функционировать в чужой среде, оставаясь невидимым для систем мониторинга.
В SafeBreach отметили, что майнер имеет важное значение не только для мира криптовалют, но и может повлечь серьезные последствия в более широком спектре приложений, так как открытые методы могут быть адаптированы для любых задач, требующих исполнения кода на платформе Azure.
Главной задачей исследования было выявление идеального криптомайнера, который бы обеспечивал неограниченный доступ к вычислительным ресурсам, требовал минимального обслуживания, был бы бесплатным и, что наиболее важно, незаметным. Именно такую возможность предоставляет сервис Microsoft Azure Automation , который автоматизирует создание, развертывание, мониторинг и обслуживание ресурсов в Azure.
Ключевой находкой стала ошибка в калькуляторе стоимости услуг Azure, позволяющая выполнять неограниченное количество операций без взимания платы. Хотя Microsoft уже устранила эту уязвимость, SafeBreach продемонстрировала альтернативные методы. Один из них включает создание тестовой работы для майнинга, её последующий сбой и создание фиктивной тестовой работы, что позволяет скрыть выполнение кода внутри Azure.
Злоумышленники могут использовать указанные методы, создавая обратное соединение с внешним сервером и подключаясь к точке автоматизации для достижения своих целей. Также было выявлено, что выполнение кода возможно через функцию Azure Automation, позволяющую загружать собственные пакеты Python. Это открывает путь для внедрения вредоносного кода под видом легитимных пакетов, таких как «pip».
В качестве доказательства концепции (Proof-of-Concept, PoC) SafeBreach представила CloudMiner — инструмент, предназначенный для извлечения бесплатной вычислительной мощности в сервисе Azure Automation. В ответ на раскрытие компании Microsoft указала, что данный метод заложен в работу сервиса и может использоваться без взимания платы.
Хотя исследование ограничивается использованием Azure Automation для майнинга криптовалют, SafeBreach предупреждает, что те же техники могут быть использованы для других целей. Организации должны активно следить за каждым ресурсом и каждым действием в их среде, чтобы предотвратить подобные угрозы. SafeBreach рекомендует организациям обучаться и проводить мониторинг показателей выполнения кода, которые могут указывать на недобросовестное использование ресурсов.
От классики до авангарда — наука во всех жанрах