Cybersecurity-onderzoekers hebben de eerste volledig niet-detecteerbare cloudgebaseerde cryptocurrency-miner ontwikkeld die gebruik maakt van de Microsoft Azure Automation-service zonder dat daar kosten aan verbonden zijn.
Cybersecuritybedrijf SafeBreach zei dat het drie verschillende methoden heeft ontdekt om de mijnwerker uit te voeren, waaronder een die kan worden uitgevoerd in de omgeving van een slachtoffer zonder enige aandacht te trekken.
“Hoewel dit onderzoek belangrijk is vanwege de potentiële impact op de mijnbouw van cryptocurrency, geloven we ook dat het serieuze implicaties heeft voor andere gebieden, omdat de technieken kunnen worden gebruikt om elke taak te volbrengen waarvoor code-uitvoering op Azure vereist is”, zei beveiligingsonderzoeker Ariel Gamrian in een rapport gedeeld met The Hacker News.
Het onderzoek was voornamelijk bedoeld om een ‘ultieme cryptominer’ te identificeren die onbeperkte toegang biedt tot computerbronnen, terwijl hij tegelijkertijd weinig tot geen onderhoud vergt, gratis en niet-detecteerbaar is.
Dat is waar Azure Automation om de hoek komt kijken. Het is ontwikkeld door Microsoft en is een cloudgebaseerde automatiseringsservice waarmee gebruikers het maken, implementeren, monitoren en onderhouden van bronnen in Azure kunnen automatiseren.
SafeBreach zei dat het een bug in de prijscalculator van Azure had gevonden die het mogelijk maakte om een oneindig aantal taken geheel gratis uit te voeren, ook al heeft dit betrekking op de omgeving van de aanvaller zelf. Microsoft heeft inmiddels een oplossing voor het probleem uitgebracht.
Een alternatieve methode is het maken van een testtaak voor mining, gevolgd door het instellen van de status op “Mislukt”, en vervolgens het maken van een nieuwe dummy-testtaak door gebruik te maken van het feit dat er slechts één test tegelijkertijd kan worden uitgevoerd.
Het eindresultaat van deze stroom is dat de code-uitvoering binnen de Azure-omgeving volledig wordt verborgen.
Een bedreigingsacteur zou deze methoden kunnen gebruiken door een omgekeerde shell naar een externe server op te zetten en zich te authenticeren bij het Automation-eindpunt om zijn doelen te bereiken.
Bovendien bleek dat code-uitvoering kon worden bereikt door gebruik te maken van de functie van Azure Automation waarmee gebruikers aangepaste Python-pakketten kunnen uploaden.
“We kunnen een kwaadaardig pakket maken met de naam ‘pip’ en dit uploaden naar het Automation-account”, legt Gamrian uit.
“De uploadstroom zou de huidige pip in het Automation-account vervangen. Nadat onze aangepaste pip in het Automation-account was opgeslagen, gebruikte de service deze elke keer dat een pakket werd geüpload.”
SafeBreach heeft ook een proof-of-concept beschikbaar gesteld, genaamd CoinMiner, dat is ontworpen om gratis rekenkracht te krijgen binnen de Azure Automation-service door gebruik te maken van het Python-pakketuploadmechanisme.
Microsoft heeft in reactie op de onthullingen het gedrag gekarakteriseerd als ‘by design’, wat betekent dat de methode nog steeds kan worden uitgebuit zonder dat er kosten in rekening worden gebracht.
Hoewel de reikwijdte van het onderzoek beperkt is tot het misbruik van Azure Automation voor cryptocurrency-mining, waarschuwde het cyberbeveiligingsbedrijf dat dezelfde technieken door bedreigingsactoren kunnen worden hergebruikt om elke taak te volbrengen waarvoor code-uitvoering op Azure vereist is.
“Als klanten van cloudproviders moeten individuele organisaties elke afzonderlijke bron en elke actie die binnen hun omgeving wordt uitgevoerd proactief monitoren”, aldus Gamrian.
“We raden organisaties ten zeerste aan om zichzelf te informeren over de methoden en stromen die kwaadwillende actoren kunnen gebruiken om niet-detecteerbare bronnen te creëren en proactief te controleren op code-uitvoering die indicatief is voor dergelijk gedrag.”
