Siber güvenlik araştırmacıları, Microsoft’tan yararlanan ilk tamamen tespit edilemeyen bulut tabanlı kripto para madencisini geliştirdi Azure Otomasyonu hiçbir ücret ödemeden hizmet alabilirsiniz.
Siber güvenlik şirketi SafeBreach, madenciyi çalıştırmak için üç farklı yöntem keşfettiğini söyledi; bunlardan biri kurbanın ortamında herhangi bir dikkat çekmeden çalıştırılabilecek.
Güvenlik araştırmacısı Ariel Gamrian, “Bu araştırma, kripto para madenciliği üzerindeki potansiyel etkisi nedeniyle önemli olsa da, diğer alanlar için de ciddi etkileri olduğuna inanıyoruz, çünkü teknikler Azure’da kod yürütülmesini gerektiren herhangi bir görevi gerçekleştirmek için kullanılabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
Çalışma esas olarak, hesaplamalı kaynaklara sınırsız erişim sunan, aynı zamanda çok az bakım gerektiren veya hiç bakım gerektirmeyen, maliyetsiz ve tespit edilemeyen bir “nihai kripto madencisini” tanımlamak için yola çıktı.
Azure Otomasyonu işte burada devreye giriyor. Microsoft tarafından geliştirilen, kullanıcıların Azure’da kaynakların oluşturulmasını, dağıtılmasını, izlenmesini ve bakımını otomatikleştirmesine olanak tanıyan bulut tabanlı bir otomasyon hizmetidir.
SafeBreach, bir hata bulduğunu söyledi Azure fiyatlandırma hesaplayıcısı Bu, saldırganın ortamıyla ilgili olmasına rağmen sonsuz sayıda işin tamamen ücretsiz olarak yürütülmesini mümkün kıldı. Microsoft o zamandan beri soruna yönelik bir düzeltme yayınladı.
Alternatif bir yöntem, madencilik için bir test işi oluşturmayı, ardından durumunu “Başarısız” olarak ayarlamayı ve ardından aynı anda yalnızca bir testin çalışabileceği gerçeğinden yararlanarak başka bir yapay test işi oluşturmayı içerir.
Bu akışın nihai sonucu, Azure ortamında kod yürütmeyi tamamen gizlemesidir.
Bir tehdit aktörü, hedeflerine ulaşmak için harici bir sunucuya yönelik bir ters kabuk oluşturarak ve Otomasyon uç noktasında kimlik doğrulaması yaparak bu yöntemlerden yararlanabilir.
Ayrıca, Azure Otomasyonu’nun kullanıcıların özel Python paketleri yüklemesine olanak tanıyan özelliğinden yararlanılarak kod yürütmenin sağlanabileceği tespit edildi.
Gamrian, “‘pip’ adında kötü amaçlı bir paket oluşturup bunu Otomasyon Hesabına yükleyebiliriz” diye açıkladı.
“Yükleme akışı, Otomasyon hesabındaki mevcut pip’in yerini alacak. Özel pip’imiz Otomasyon hesabına kaydedildikten sonra, hizmet her paket yüklendiğinde bunu kullandı.”
SafeBreach ayrıca şu adla anılan bir kavram kanıtını da kullanıma sundu: CoinMiner Python paket yükleme mekanizmasını kullanarak Azure Otomasyon hizmeti kapsamında ücretsiz bilgi işlem gücü elde etmek için tasarlanmıştır.
Microsoft, açıklamalara yanıt olarak davranışı “tasarım gereği” olarak nitelendirdi; bu, yöntemin herhangi bir ücret talep edilmeksizin yine de kullanılabileceği anlamına geliyor.
Araştırmanın kapsamı, Azure Otomasyonunun kripto para madenciliği için kötüye kullanılmasıyla sınırlı olsa da siber güvenlik firması, aynı tekniklerin tehdit aktörleri tarafından Azure’da kod yürütülmesini gerektiren herhangi bir görevi gerçekleştirmek için yeniden kullanılabileceği konusunda uyardı.
Gamrian, “Bulut sağlayıcı müşterileri olarak bireysel kuruluşların her bir kaynağı ve kendi ortamlarında gerçekleştirilen her eylemi proaktif bir şekilde izlemesi gerekiyor” dedi.
“Kuruluşların, kötü niyetli aktörlerin tespit edilemeyen kaynaklar oluşturmak için kullanabileceği yöntemler ve akışlar hakkında kendilerini eğitmelerini ve bu tür davranışların göstergesi olan kod yürütmeyi proaktif olarak izlemelerini şiddetle tavsiye ediyoruz.”