Ricercatori di cybersecurity hanno scoperto un metodo per eseguire un cryptominer completamente offuscato utilizzando il servizio Microsoft Azure Automation, senza generare alcun costo. La società di sicurezza informatica SafeBreach ha rivelato tre diversi metodi per eseguire il miner, incluso uno che può essere attuato nell’ambiente di una vittima senza destare sospetti.
Tecniche di mining indetectabile
Il punto focale della ricerca era identificare un “miner di criptovaluta definitivo” che offrisse accesso illimitato alle risorse computazionali, richiedesse poca o nessuna manutenzione, fosse gratuito e indetectabile. Azure Automation, sviluppato da Microsoft, è un servizio di automazione basato sul cloud che consente agli utenti di automatizzare la creazione, il dispiegamento, il monitoraggio e la manutenzione delle risorse in Azure.
Il bug nel calcolatore dei prezzi di Azure
SafeBreach ha scoperto un bug nel calcolatore dei prezzi di Azure che permetteva di eseguire un numero infinito di lavori senza alcun costo. Sebbene il bug riguardasse l’ambiente dell’attaccante, Microsoft ha da allora rilasciato una correzione per il problema.
Metodi alternativi e shell reversa
Un metodo alternativo prevede la creazione di un lavoro di test per il mining, impostandone lo stato su “Fallito”, e poi creando un altro lavoro di test fittizio, sfruttando il fatto che solo un test può essere eseguito alla volta. Questo processo nasconde completamente l’esecuzione del codice all’interno dell’ambiente Azure. Un attore minaccioso potrebbe sfruttare questi metodi stabilendo una shell reversa verso un server esterno e autenticandosi all’endpoint di Automazione per raggiungere i propri obiettivi.
Pacchetti Python personalizzati come vettore di attacco
È stato inoltre scoperto che l’esecuzione del codice potrebbe essere realizzata sfruttando la funzionalità di Azure Automation che consente agli utenti di caricare pacchetti Python personalizzati. Creando un pacchetto dannoso denominato ‘pip’ e caricandolo sull’Account di Automazione, il flusso di caricamento sostituirebbe il ‘pip’ corrente nell’account, e il servizio lo utilizzerebbe ogni volta che un pacchetto venisse caricato.
Raccomandazioni per le organizzazioni
SafeBreach ha anche reso disponibile una prova di concetto denominata CoinMiner, progettata per ottenere potenza computazionale gratuita all’interno del servizio Azure Automation utilizzando il meccanismo di caricamento del pacchetto Python. Microsoft ha definito il comportamento come “by design”, il che significa che il metodo può ancora essere sfruttato senza incorrere in costi.