Araştırmacılar Azure Otomasyonu'nda Tespit Edilemeyen Kripto Madenciliği Tekniğini Ortaya Çıkarıyor
Siber güvenlik araştırmacıları, Microsoft Azure Otomasyon hizmetinden herhangi bir ücret ödemeden yararlanan, tamamen tespit edilemeyen ilk bulut tabanlı kripto para madencisini geliştirdi.
Siber güvenlik şirketi SafeBreach, madenciyi çalıştırmak için üç farklı yöntem keşfettiğini ve bunlardan birinin kurbanın ortamında herhangi bir dikkat çekmeden yürütülebileceğini söyledi.
Güvenlik araştırmacısı Ariel Gamrian, paylaşılan bir raporda, "Bu araştırma, kripto para madenciliği üzerindeki potansiyel etkisi nedeniyle önemli olsa da, teknikler Azure'da kod yürütme gerektiren herhangi bir görevi gerçekleştirmek için kullanılabileceğinden, diğer alanlar için de ciddi etkileri olduğuna inanıyoruz" dedi.
Çalışma, temel olarak, hesaplama kaynaklarına sınırsız erişim sunarken, aynı anda çok az bakım gerektiren veya hiç bakım gerektirmeyen, maliyetsiz ve tespit edilemez bir "nihai kripto madencisi" belirlemek için yola çıktı.
İşte bu noktada Azure Otomasyonu devreye girer. Microsoft tarafından geliştirilen, kullanıcıların Azure'daki kaynakların oluşturulmasını, dağıtılmasını, izlenmesini ve bakımını otomatikleştirmesine olanak tanıyan bulut tabanlı bir otomasyon hizmetidir.
SafeBreach, Azure fiyatlandırma hesaplayıcısında, saldırganın ortamıyla ilgili olmasına rağmen, sonsuz sayıda işi tamamen ücretsiz olarak yürütmeyi mümkün kılan bir hata bulduğunu söyledi. Microsoft o zamandan beri sorun için bir düzeltme yayınladı.
Alternatif bir yöntem, madencilik için bir test işi oluşturmayı, ardından durumunu "Başarısız" olarak ayarlamayı ve ardından aynı anda yalnızca bir testin çalışabileceği gerçeğinden yararlanarak başka bir sahte test işi oluşturmayı gerektirir.
Bu akışın sonucu, Azure ortamında kod yürütmeyi tamamen gizlemesidir.
Bir tehdit aktörü, hedeflerine ulaşmak için harici bir sunucuya yönelik bir ters kabuk oluşturarak ve Otomasyon uç noktasında kimlik doğrulaması yaparak bu yöntemlerden yararlanabilir.
Ayrıca, Azure Otomasyonu'nun kullanıcıların özel Python paketlerini karşıya yüklemesine olanak tanıyan özelliğinden yararlanılarak kod yürütmenin sağlanabileceği bulundu.
Gamrian, "'pip' adında kötü amaçlı bir paket oluşturabilir ve bunu Otomasyon Hesabına yükleyebiliriz" dedi.
"Yükleme akışı, Otomasyon hesabındaki mevcut pip'in yerini alacak. Özel pip'imiz Otomasyon hesabına kaydedildikten sonra, hizmet her paket karşıya yüklendiğinde bunu kullandı."
SafeBreach ayrıca, Python paket yükleme mekanizmasını kullanarak Azure Otomasyonu hizmetinde ücretsiz bilgi işlem gücü elde etmek için tasarlanmış CoinMiner adlı bir kavram kanıtı da kullanıma sundu.
Microsoft, açıklamalara yanıt olarak, davranışı "tasarım gereği" olarak nitelendirdi, yani yöntemden ücret alınmadan hala yararlanılabilir.
Araştırmanın kapsamı, kripto para madenciliği için Azure Otomasyonu'nun kötüye kullanılmasıyla sınırlı olsa da, siber güvenlik firması, aynı tekniklerin Azure'da kod yürütülmesini gerektiren herhangi bir görevi gerçekleştirmek için tehdit aktörleri tarafından yeniden kullanılabileceği konusunda uyardı.
Gamrian, "Bulut sağlayıcısı müşterileri olarak, bireysel kuruluşlar ortamlarında gerçekleştirilen her bir kaynağı ve her eylemi proaktif olarak izlemelidir" dedi.
"Kuruluşların, kötü niyetli aktörlerin tespit edilemeyen kaynaklar oluşturmak için kullanabilecekleri yöntemler ve akışlar hakkında kendilerini eğitmelerini ve bu tür davranışların göstergesi olan kod yürütmeyi proaktif olarak izlemelerini önemle tavsiye ediyoruz."
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya