Ein neuer Cloud-basierter Kryptowährungs-Miner der den Microsoft Azure Automation Service nutzt, wurde kürzlich entdeckt. SafeBreach, ein Cybersicherheitsunternehmen, hat drei verschiedene Methoden identifiziert, mit denen dieser innovative Krypto-Miner ausgeführt werden kann. Eine davon ermöglicht die Ausführung in der Umgebung des Opfers, ohne dass dabei Aufmerksamkeit erregt wird. Sicherheitsforscher sind der Ansicht, dass der Missbrauch von Azure Automation weit weiterhin als nur Krypto-Mining ermöglichen kann.
Microsoft Azure ist seit Februar 2010 die Cloud-Computing-Plattform von Microsoft die sich primär an Softwareentwickler richtet. In diesem Fall ging es um die Analyse von Daten die gegen Bezahlung angeboten wird.
Der CloudMiner ist eine All-in-One-Lösung die unbegrenzten Zugang zu Rechenressourcen bietet. Er erfordert nur wenig bis keine Wartung – ist kostenlos und kann nicht entdeckt werden. Dabei wird Azure Automation verwendet, ein von Microsoft entwickelter Cloud-basierter Automatisierungsdienst, mit dem Benutzer die Erstellung, Bereitstellung, Überwachung und Wartung von Ressourcen in Azure automatisieren können. In diesem Fall wird Azure Automation jedoch für andere Zwecke als von Microsoft vorgesehen eingesetzt.
SafeBreach hat ebenfalls einen Fehler im Azure-Preisrechner entdeckt der es ermöglichte, eine unendliche Anzahl von Aufträgen völlig kostenlos auszuführen. Microsoft hat diesen Fehler inzwischen behoben.
Es gibt noch eine alternative Methode um Azure Automation zu überlisten. Dabei wird ein Testauftrag für das Krypto-Mining erstellt und sein Status auf "fehlgeschlagen" gesetzt. Anschließend wird ein weiterer Dummy-Testauftrag erstellt. Durch die Begrenzung auf einen gleichzeitig laufenden Test bleibt die Codeausführung innerhalb der Azure-Umgebung vollständig verborgen und dadurch auch kostenlos.
Ein Angreifer könnte diese Methoden nutzen, indem er eine Reverse Shell zu einem externen Server aufbaut und sich am Automatisierungsendpunkt authentifiziert. Auf diese Weise könnte er seine Ziele erreichen. Es wurde auch festgestellt, dass die Codeausführung durch Ausnutzung der Funktion von Azure Automation möglich ist, mit der Benutzer benutzerdefinierte Python-Pakete hochladen können. Es gelang, im Automation-Konto das Paket "pip" durch einen bösartigen Klon zu ersetzen. Der Klon wurde jedes Mal aktiv; sobald ein weiteres Paket hochgeladen wurde.
SafeBreach hat auch einen Proof-of-Concept mit dem Namen "CloudMiner" veröffentlicht der kostenlose Rechenleistung innerhalb des Azure Automation Service ermöglicht. Microsoft hat in seiner Reaktion auf die Enthüllungen das Verhalten als "by design" bezeichnet. Es können dennoch manche Varianten des bösartigen Mechanismus gefahrlos missbraucht werden auch wenn ein Bugfix veröffentlicht wurde.
Obwohl die SafeBreach-Analyse sich auf den Missbrauch von Azure Automation für das Mining von Kryptowährungen konzentriert, könnte man mit dieser Methode jede erdenkliche Aufgabe ausführen, für die Code auf Azure ausgeführt werden muss. Essenziell bleibt dass Kunden von Cloud-Anbietern jede einzelne Aktion und Ressource ebendies überprüfen um Codeausführungen zu entdecken die auf solch ein Verhalten hinweisen. Weitere Details können in den ausführlichen Ausführungen der Sicherheitsforscher nachgelesen werden. Dort sind auch Videos der Entwickler zu sehen – die ihre Projekte im produktiven Einsatz zeigen. Der Quellcode des CloudMiner der Azure Automation überlistet hat ist ähnlich wie öffentlich verfügbar.
Kommentare