Une technique indétectable d’extraction de crypto-monnaie sur Azure Automation découverte par des chercheurs en cybersécurité

La société de cybersécurité SafeBreach a déclaré avoir découvert trois méthodes différentes pour exécuter le mineur, dont une qui peut être exécutée dans l’environnement d’une victime sans attirer l’attention.

« Bien que cette recherche soit importante en raison de son impact potentiel sur le minage de crypto-monnaie, nous pensons également qu’elle a de sérieuses implications pour d’autres domaines, car les techniques pourraient être utilisées pour réaliser n’importe quelle tâche nécessitant l’exécution de code sur Azure », a déclaré le chercheur en sécurité Ariel Gamrian dans un rapport partagé avec The Hacker News.

L’étude visait principalement à identifier un « mineur de crypto-monnaie ultime » offrant un accès illimité aux ressources informatiques, tout en nécessitant peu ou pas de maintenance, sans coût et indétectable.

C’est là qu’intervient Azure Automation. Développé par Microsoft, il s’agit d’un service d’automatisation basé sur le cloud qui permet aux utilisateurs d’automatiser la création, le déploiement, la surveillance et la maintenance des ressources dans Azure.

SafeBreach a déclaré avoir trouvé un bogue dans le calculateur de prix Azure qui permettait d’exécuter un nombre infini de tâches totalement gratuites, bien que cela concerne l’environnement de l’attaquant lui-même. Microsoft a depuis lors publié un correctif pour ce problème.
Une autre méthode consiste à créer un test-job pour l’exploitation minière, à lui attribuer le statut « Échec », puis à créer un autre test-job factice en profitant du fait qu’un seul test peut être exécuté en même temps. Le résultat final de ce flux est qu’il cache complètement l’exécution du code dans l’environnement Azure. Un acteur de la menace pourrait tirer parti de ces méthodes en établissant un shell inverse vers un serveur externe et en s’authentifiant sur le point de terminaison Automation pour atteindre ses objectifs. En outre, il a été constaté que l’exécution de code pouvait être réalisée en exploitant la fonction d’Azure Automation qui permet aux utilisateurs de télécharger des paquets Python personnalisés. « Nous avons pu créer un paquet malveillant nommé ‘pip’ et le télécharger sur le compte Automation », a expliqué Gamrian. « Le flux de téléchargement remplacera le pip actuel dans le compte Automation. Une fois que notre paquet personnalisé a été sauvegardé dans le compte Automation, SafeBreach a également mis à disposition une preuve de concept appelée CloudMiner qui est conçue pour obtenir de la puissance de calcul gratuite au sein du service Azure Automation en utilisant le mécanisme de téléchargement de paquets Python.Microsoft, en réponse à ces révélations, a qualifié ce comportement de « by design », ce qui signifie que la méthode peut toujours être exploitée sans être facturée. Bien que la portée de cette recherche soit limitée à l’abus d’Azure Automation pour le minage de crypto-monnaies, la firme de cybersécurité a averti que les mêmes techniques pourraient être réutilisées par les acteurs de la menace pour réaliser n’importe quelle tâche qui nécessite une exécution de code sur Azure. »En tant que clients des fournisseurs de cloud, les organisations individuelles doivent surveiller de manière proactive chaque ressource et chaque action effectuée dans leur environnement, a déclaré M. Gamrians. Nous recommandons vivement aux organisations de s’informer sur les méthodes et les flux que les acteurs malveillants peuvent utiliser pour créer des ressources détectables et de surveiller de manière proactive l’exécution des codes indiquant un tel comportement. »Rejoignez-nous pour notre webinaire afin d’apprendre comment relever les défis, lancer un programme et choisir la bonne solution. Participez à la conversation avec des experts en sécurité afin de découvrir les technologies qui peuvent protéger vos applications web des attaques malveillantes. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.