Pesquisadores de cibersegurança desenvolveram o que é o primeiro minerador de criptomoeda baseado em nuvem totalmente indetectável, aproveitando o serviço de Automação do Microsoft Azure sem acumular quaisquer taxas.
A empresa de cibersegurança SafeBreach afirmou ter descoberto três métodos diferentes para executar o minerador, incluindo um que pode ser executado no ambiente de uma vítima sem atrair atenção.
“Embora essa pesquisa seja significativa por seu potencial impacto na mineração de criptomoedas, também acreditamos que tem implicações sérias para outras áreas, já que as técnicas poderiam ser usadas para realizar qualquer tarefa que requer a execução de código no Azure", disse o pesquisador de segurança Ariel Gamrian em um relatório compartilhado com o The Hacker News.
O estudo principalmente procurou identificar um "minerador de cripto definitivo" que oferece acesso ilimitado a recursos computacionais, enquanto simultaneamente requer pouca ou nenhuma manutenção, é gratuito e indetectável.
É aí que entra a Automação do Azure.
Desenvolvido pela Microsoft, é um serviço de automação baseado em nuvem que permite aos usuários automatizar a criação, implantação, monitoramento e manutenção de recursos no Azure.
A SafeBreach afirmou ter encontrado um bug no calculador de preços do Azure que tornou possível executar um número infinito de trabalhos totalmente gratuitos, embora se refira ao próprio ambiente do invasor.
Desde então, a Microsoft emitiu uma correção para o problema.
Um método alternativo envolve a criação de um trabalho de teste para mineração, seguido pela definição de seu status como "Falhou", e então a criação de outro trabalho de teste falso, aproveitando-se do fato de que apenas um teste pode ser executado ao mesmo tempo.
O resultado final desse fluxo é que ele esconde completamente a execução do código dentro do ambiente do Azure.
Um ator de ameaças poderia aproveitar esses métodos, estabelecendo um shell reverso em direção a um servidor externo e autenticando-se no ponto de extremidade de Automação para alcançar seus objetivos.
Além disso, descobriu-se que a execução de código poderia ser alcançada aproveitando a funcionalidade da Automação do Azure que permite aos usuários carregar pacotes Python personalizados.
“Poderíamos criar um pacote malicioso chamado 'pip' e carregá-lo na Conta de Automação”, explicou Gamrian.
"O fluxo de upload substituiria o pip atual na conta de Automação.
Depois que nosso pip personalizado foi salvo na conta de Automação, o serviço o usava toda vez que um pacote era carregado ".
A SafeBreach também disponibilizou uma prova de conceito chamada CloudMiner, projetada para obter poder de computação gratuito dentro do serviço de Automação do Azure usando o mecanismo de upload de pacote Python.
A Microsoft, em resposta aos relatórios, caracterizou o comportamento como "por design", o que significa que o método ainda pode ser explorado sem ser cobrado.
Embora o escopo da pesquisa seja limitado ao abuso da Automação do Azure para mineração de criptomoedas, a empresa de cibersegurança alertou que as mesmas técnicas poderiam ser reaproveitadas por atores de ameaças para realizar qualquer tarefa que necessite de execução de código no Azure.
"Como clientes de provedores de nuvem, as organizações individuais devem monitorar proativamente todos os recursos e todas as ações sendo realizadas em seu ambiente", disse Gamrian.
"Recomendamos fortemente que as organizações se eduquem sobre os métodos e fluxos que atores maliciosos podem usar para criar recursos indetectáveis e monitorar proativamente a execução de códigos indicativos de tal comportamento".
Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...