You have not selected any currencies to display

Bl0ckch41nnewsCloudMiner: técnica de criptominería indetectable en Azure Automation

22


Investigadores de ciberseguridad han desarrollado lo que es el primer minero
de criptomonedas basado en la nube totalmente indetectable que aprovecha el
servicio
Microsoft Azure Automation
sin acumular ningún cargo.

La empresa de ciberseguridad SafeBreach dijo que descubrió tres métodos
diferentes para ejecutar el minero, incluido uno que puede ejecutarse en el
entorno de la víctima sin llamar la atención.

«Si bien esta investigación es importante debido a su impacto potencial en
la minería de criptomonedas, también creemos que tiene serias implicaciones
para otras áreas, ya que las técnicas podrían usarse para lograr cualquier
tarea que requiera la ejecución de código en Azure»
,
dijo el investigador de seguridad Ariel Gamrian.

El estudio se propuso principalmente identificar un «criptominero definitivo»
que ofrezca acceso ilimitado a recursos computacionales, al mismo tiempo que
requiera poco o ningún mantenimiento, sea gratuito e indetectable.

Ahí es donde entra en juego Azure Automation. Desarrollado por Microsoft, es
un servicio de automatización basado en la nube que permite a los usuarios
automatizar la creación, implementación, monitoreo y mantenimiento de recursos
en Azure.

SafeBreach dijo que
encontró un error en la calculadora de precios de Azure
que permitía ejecutar una cantidad infinita de trabajos de forma totalmente
gratuita, aunque se relaciona con el entorno del atacante en sí. Desde
entonces, Microsoft ha publicado una solución para el problema.

Un método alternativo implica crear un trabajo de prueba para minería, luego
establecer su estado como «Error» y luego crear otro trabajo de prueba
ficticio aprovechando el hecho de que solo se puede ejecutar una prueba al
mismo tiempo. El resultado final de este flujo es que oculta completamente la
ejecución de código dentro del entorno de Azure.

Un actor de amenazas podría aprovechar estos métodos estableciendo un
shell inverso hacia un servidor externo y autenticándose en el punto
final de automatización para lograr sus objetivos.

Además, se descubrió que la ejecución del código se podría lograr aprovechando
la función de Azure Automation que permite a los usuarios cargar paquetes
Python personalizados.
«Podríamos crear un paquete malicioso llamado ‘pip’ y cargarlo en la cuenta
de automatización»
, explicó Gamrian.
«El flujo de carga reemplazaría el pip actual en la cuenta de
Automatización. Después de guardar nuestro pip personalizado en la cuenta de
Automatización, el servicio lo usó cada vez que se cargó un paquete»
.

SafeBreach también ha puesto a disposición una prueba de concepto denominada
CloudMiner
que está diseñada para obtener potencia informática gratuita dentro del
servicio Azure Automation mediante el uso del mecanismo de carga de paquetes
Python. La herramienta CloudMiner permite a cualquiera ejecutar código de
forma gratuita en Azure utilizando esta técnica. Una vez que proporcione el
script Python/Powershell que desea ejecutar y acceda a su cuenta de
automatización, la herramienta se encargará del resto por usted.

Microsoft, en respuesta a las revelaciones, ha caracterizado el comportamiento
como «por diseño», lo que significa que el método aún puede explotarse sin que
se le cobre.

Si bien el alcance de la investigación se limita al abuso de Azure Automation
para la minería de criptomonedas, la firma de ciberseguridad advirtió que los
actores de amenazas podrían reutilizar las mismas técnicas para lograr
cualquier tarea que requiera la ejecución de código en Azure.

«Como clientes proveedores de nube, las organizaciones individuales deben
monitorear proactivamente cada recurso y cada acción que se realiza dentro
de su entorno»
, afirmó Gamrian.
«Recomendamos encarecidamente que las organizaciones se informen sobre los
métodos y flujos que los actores maliciosos pueden utilizar para crear
recursos indetectables y monitorear proactivamente la ejecución de código
indicativo de dicho comportamiento»
.

​Fuente:
THN



Source link

Los comentarios están cerrados.