Çalışma zamanı ortamları, Otomasyon Hesabı Çalıştırma Kitaplarını belirli paketlerle özelleştirmek için esnek bir yol sunar.
Temel sistem tarafından oluşturulan ortamlar doğrudan değiştirilemezken, eski deneyime paketler eklenerek ve ardından yeni Çalışma Zamanı Ortamları özelliğine geçilerek dolaylı olarak değiştirilebilir.
Kötü amaçlı paketlerle yeni çalışma zamanı ortamları oluşturan ve bunları hedef çalıştırma kitaplarına atayan saldırganlar tarafından potansiyel olarak istismar edilebilir. Bu riski azaltmak için çalışma zamanı ortamlarını dikkatli bir şekilde yönetmek ve güvenliğini sağlamak ve güvenilmeyen paketleri kullanmaktan kaçınmak çok önemlidir.
PowerShell kavram kanıtı için mevcut bir pakete benzer şekilde PowerUpSQL adında özel bir paket oluşturdular.
Bu paket iki dosya içerecektir: modül yapısını tanımlayan bir psd1 dosyası ve kodu içeren bir psm1 dosyası.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
psm1 dosyası, Otomasyon Hesabı için Yönetilen Kimlik belirteci oluşturmak ve bunu HTTP üzerinden belirtilen bir URL’ye aktarmak için işlevler içerecektir. Bu URL, örnek dosyalardaki sabit kodlanmış URL’yi değiştirerek özelleştirilebilir.
Tam paket MicroBurst deposunun “Misc/Packages” klasöründe olacaktır.
PowerShell betik modülü `PowerUpSQL`, Azure Active Directory’den Sistem Tarafından Atanmış Yönetilen Kimlik kullanılarak bir belirteç alan ve bunu bir POST isteği aracılığıyla belirtilen bir geri arama URL’sine gönderen `a` adlı bir işlevi tanımlar.
Bu fonksiyon, modül sürümü, GUID, yazar, şirket, telif hakkı ve dışarı aktarılan fonksiyonlar, cmdlet’ler, değişkenler ve takma adlar dahil olmak üzere meta verilerle birlikte modülden dışarı aktarılır.
Modülün kök modül dosyası `PowerUpSQL.psm1` ve manifest dosyası `PowerUpSQL.psd1`’dir.
`__init__.py` dosyası içeren bir dizini ve hedef modül olarak belirli bir araç olan aws_consoler’ı kullanan diğer modülleri içeren kötü amaçlı bir Python paketinin oluşturulmasını açıklamaktadır.
Metin, potansiyel olarak amaçlanan kullanıma göre bağımlılıkları ayarlamanın gerekliliğini vurgular. Genel olarak, kötü amaçlı bir Python paketi için kurulumu ana hatlarıyla belirtir.
“aws_consoler” adlı kötü amaçlı bir Python paketini sergiliyor. `setup.py` dosyası dağıtım için meta verileri yapılandırırken, `aws_consoler.py` betiği ortam değişkenlerini kullanarak önceden tanımlanmış bir URL’den bir belirteç alır ve bunu başka bir kötü amaçlı uç noktaya gönderir.
Modülleri ve Python paketlerini yüklemenin eski yöntemi bir dosya seçmeyi, bir Runtime sürümü belirtmeyi ve paketi adlandırmayı içerir. Bu yöntem hem eski hem de yeni sistem tarafından oluşturulan ortamlarda kullanılabilir.
Kullanıcılar mevcut bir Çalışma Ortamını değiştirmek için paketler ekleyebilirler, ancak bu sistem tarafından oluşturulan ortamlar için işe yaramayabilir.
Yeni bir ortam oluşturmak, paket eklemede daha fazla esneklik sağlar ancak çalıştırma kitaplarının taşınmasını gerektirir.
Azure Automation’da kötü amaçlı paketleri kullanmak için bunları Automation Account veya Runtime Environment’a ekleyin ve bir çalıştırma kitabında çağırın. PowerShell için, işlevi çağırmak için bir satır ekleyin ve bu da işlev adını gizleyebilir.
NetSPI’ye göre, Python için `aws_consoler` paketini içe aktarın, çalıştırma kitaplarını bir belirteçle düzenli olarak kontrol edecek şekilde planlayın ve kalıcılığı sağlamak için çalıştırma kitapları için web kancaları oluşturmayı düşünün.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free