WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Các nhà nghiên cứu tiết lộ kỹ thuật đào tiền điện tử mới trên Azure Automation
Các nhà nghiên cứu an ninh mạng đã công bố một nghiên cứu phát triển công cụ khai thác tiền điện tử nền tảng đám mây chưa từng bị phát hiện, lợi dụng dịch vụ Microsoft Azure Automation mà không phải trả bất kỳ khoản phí nào.
Công ty an ninh mạng SafeBreach cho biết họ đã phát hiện 3 cách thức khác nhau để chạy công cụ khai thác, trong đó có một phương pháp có thể thực thi trên môi trường nạn nhân mà không bị phát hiện.
Nghiên cứu này chủ yếu nhằm mục đích xác định một công cụ khai thác tiền điện tử tối ưu, cung cấp quyền truy cập không giới hạn vào các tài nguyên tính toán đồng thời ít hoặc không cần bảo trì, miễn phí và không bị phát hiện.
Mục tiêu thử nghiệm là Azure Automation. Đây là dịch vụ do Microsoft phát triển dựa trên nền tảng đám mây cho phép người dùng tự động hóa việc tạo, triển khai, giám sát và bảo trì tài nguyên trong nền tảng điện toán đám mây Azure.
SafeBreach cho biết họ đã tìm thấy một lỗi trong công cụ tính giá Azure khiến nó có thể thực hiện vô số nhiệm vụ hoàn toàn miễn phí, mặc dù còn tùy thuộc vào chính môi trường của kẻ tấn công. Microsoft đã cung cấp bản sửa lỗi cho vấn đề này.
Một phương pháp thay thế đòi hỏi phải tạo một nhiệm vụ thử nghiệm để khai thác, tiếp đó thiết lập trạng thái “Không thành công” (Failed) rồi tạo một môi trường thử nghiệm giả khác bằng cách lợi dụng thực tế là chỉ có một thử nghiệm có thể chạy tại một thời điểm.
Kết quả cuối cùng của luồng này là ẩn hoàn toàn việc thực thi mã trong môi trường Azure.
Kẻ xấu có thể lợi dụng những cách thức này để thiết lập một shell đảo ngược hướng tới máy chủ bên ngoài và xác thực với điểm cuối của Automation để đạt được mục đích.
Ngoài ra, có thể thấy việc thực thi mã có thể được thực hiện bằng cách lợi dụng tính năng của Azure Automation mà cho phép người dùng tải lên các gói Python tùy chỉnh.
SafeBreach cũng đã công bố mã khai thác (PoC) có tên CloudMiner được thiết kế để có được sức mạnh tính toán miễn phí trong dịch vụ Azure Automation bằng cách sử dụng cơ chế tải lên gói Python.
Phản hồi lại thông tin trên, Microsoft đã mô tả đây là hành vi “theo thiết kế”, có nghĩa là phương pháp này vẫn bị khai thác mà không bị tính phí.
Trong khi phạm vi của nghiên cứu chỉ giới hạn ở việc lạm dụng Azure Automation để khai thác tiền điện tử, công ty an ninh mạng cảnh báo rằng các kỹ thuật tương tự có thể bị kẻ xấu sử dụng lại để đạt nhiệm vụ thực thi mã trên Azure.
Công ty an ninh mạng SafeBreach cho biết họ đã phát hiện 3 cách thức khác nhau để chạy công cụ khai thác, trong đó có một phương pháp có thể thực thi trên môi trường nạn nhân mà không bị phát hiện.
Nghiên cứu này chủ yếu nhằm mục đích xác định một công cụ khai thác tiền điện tử tối ưu, cung cấp quyền truy cập không giới hạn vào các tài nguyên tính toán đồng thời ít hoặc không cần bảo trì, miễn phí và không bị phát hiện.
Mục tiêu thử nghiệm là Azure Automation. Đây là dịch vụ do Microsoft phát triển dựa trên nền tảng đám mây cho phép người dùng tự động hóa việc tạo, triển khai, giám sát và bảo trì tài nguyên trong nền tảng điện toán đám mây Azure.
SafeBreach cho biết họ đã tìm thấy một lỗi trong công cụ tính giá Azure khiến nó có thể thực hiện vô số nhiệm vụ hoàn toàn miễn phí, mặc dù còn tùy thuộc vào chính môi trường của kẻ tấn công. Microsoft đã cung cấp bản sửa lỗi cho vấn đề này.
Một phương pháp thay thế đòi hỏi phải tạo một nhiệm vụ thử nghiệm để khai thác, tiếp đó thiết lập trạng thái “Không thành công” (Failed) rồi tạo một môi trường thử nghiệm giả khác bằng cách lợi dụng thực tế là chỉ có một thử nghiệm có thể chạy tại một thời điểm.
Kết quả cuối cùng của luồng này là ẩn hoàn toàn việc thực thi mã trong môi trường Azure.
Kẻ xấu có thể lợi dụng những cách thức này để thiết lập một shell đảo ngược hướng tới máy chủ bên ngoài và xác thực với điểm cuối của Automation để đạt được mục đích.
Ngoài ra, có thể thấy việc thực thi mã có thể được thực hiện bằng cách lợi dụng tính năng của Azure Automation mà cho phép người dùng tải lên các gói Python tùy chỉnh.
SafeBreach cũng đã công bố mã khai thác (PoC) có tên CloudMiner được thiết kế để có được sức mạnh tính toán miễn phí trong dịch vụ Azure Automation bằng cách sử dụng cơ chế tải lên gói Python.
Phản hồi lại thông tin trên, Microsoft đã mô tả đây là hành vi “theo thiết kế”, có nghĩa là phương pháp này vẫn bị khai thác mà không bị tính phí.
Trong khi phạm vi của nghiên cứu chỉ giới hạn ở việc lạm dụng Azure Automation để khai thác tiền điện tử, công ty an ninh mạng cảnh báo rằng các kỹ thuật tương tự có thể bị kẻ xấu sử dụng lại để đạt nhiệm vụ thực thi mã trên Azure.
Theo The Hacker News