SafeBreach 公司的安全研究员开发了首个利用微软 Azure 自动化服务而完全无法被检测到的云密币挖矿机。

研究员 Ariel Gamrian 在报告中提到，“虽然因为对密币挖掘产生的影响而使这项研究发挥着重要作用，但我们也认为它对其他领域也有重要意义，因为这些技术可用于实现任何要求在 Azure 完成代码执行的任务。”

这项研究的主要目的是找到“终极密币挖矿机”，使其提供对计算资源的无限访问权限，同时几乎无需任何维护、无需任何费用以及无法被检测到。

而这正是 Azure Automation 服务发挥作用的地方。Azure Automation 服务由微软开发，是基于云的自动化服务，可使用户在 Azure 中自动创建、部署、监控和维护资源。

研究人员表示，在 Azure 价格计算器中发现了一个漏洞，在无需任何费用的情况下执行无限数量的任务，尽管与攻击者的环境本身有关。之后，微软修复了该问题。

另外一种方法要求创建挖矿 test-job，之后将其状态设置为“失败”，接着利用同时只能运行一次测试的事实创建另外一项 test-job。最终结果是在 Azure 环境中完全隐藏了代码执行。

威胁行动者可设立外部服务器的反向 shell，在 Automation 端点认证，利用这些方法实现目标。另外，还可通过利用 Azure Automation 允许用户上传自定义 Python 包的特性实现代码执行。

Gamrian 解释称，“我们可创建名为 ‘pip’ 的恶意包并将其上传到Automation 账户。该上传流将替换 Automation 账户中的当前 pip。自定义 pip 保持在 Automation 账户后，该服务会在每次上传程序包时使用它。”研究人员还发布了 PoC 视频，说明了如何使用 Python 包上传机制在 Azure Automation 服务中的免费算力。微软回应称该行为“设计”如此，意思是可在无需任何费用的情况下仍可利用该方法。

虽然这项研究的范围仅限于将 Azure Automation 滥用于密币挖矿，但研究人员提醒称同样的技术也可被用于实现任何需要在 Azure 上实现代码执行的任务。Gamrian 表示，“作为云提供商的客户，个体组织机构必须主动监控在环境中执行的所有资源和操作。我们强烈建议组织机构了解这些恶意人员可能用于创建不可检测资源的方法和流的知识，主动检测此类行为的代码执行指标。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~