研究人员在 Azure 自动化上发现了无法检测的加密货币挖掘技术

网络安全研究人员利用 Microsoft Azure 自动化服务开发了第一个完全无法检测的基于云的加密货币挖矿程序，且无需支付任何费用。

网络安全公司 SafeBreach 表示，它发现了三种不同的运行挖矿程序的方法，其中一种可以在受害者的环境中执行而不引起任何注意。

安全研究员 Ariel Gamrian表示：“虽然这项研究因其对加密货币挖矿的潜在影响而意义重大，但我们也相信它对其他领域也有严重影响，因为这些技术可用于完成任何需要在 Azure 上执行代码的任务。”与《黑客新闻》分享的一份报告。

该研究的主要目的是确定一种“终极加密货币矿工”，它可以无限制地访问计算资源，同时几乎不需要维护，而且是免费的且无法检测到的。

这就是 Azure 自动化的用武之地。它由 Microsoft 开发，是一种基于云的自动化服务，允许用户自动创建、部署、监视和维护 Azure 中的资源。

SafeBreach 表示，它在Azure 定价计算器中发现了一个错误，该错误使得完全免费执行无限数量的作业成为可能，尽管它与攻击者的环境本身有关。微软此后发布了针对该问题的修复程序。

另一种方法需要创建一个用于挖掘的测试作业，然后将其状态设置为“失败”，然后利用只能同时运行一个测试的事实来创建另一个虚拟测试作业。

此流程的最终结果是它完全隐藏了 Azure 环境中的代码执行。

威胁参与者可以通过建立面向外部服务器的反向 shell 并向自动化端点进行身份验证来利用这些方法来实现其目标。

此外，我们发现可以通过利用 Azure 自动化允许用户上传自定义 Python 包的功能来实现代码执行。

“我们可以创建一个名为‘pip’的恶意包并将其上传到自动化帐户，”Gamrian 解释道。

“上传流程将替换自动化帐户中的当前 pip。将我们的自定义 pip 保存在自动化帐户中后，每次上传包时该服务都会使用它。”

SafeBreach 还提供了名为CoinMiner 的概念验证，旨在通过使用 Python 包上传机制在 Azure 自动化服务中获得免费计算能力。

针对这些披露，微软将这种行为描述为“有意为之”，这意味着该方法仍然可以在不收费的情况下被利用。

虽然研究范围仅限于滥用 Azure 自动化进行加密货币挖掘，但该网络安全公司警告称，威胁行为者可能会重新利用相同的技术来实现需要在 Azure 上执行代码的任何任务。

“作为云提供商客户，各个组织必须主动监控其环境中的每一项资源和执行的每项操作，”Gamrian 说。

“我们强烈建议组织自行了解恶意行为者可能用来创建无法检测的资源的方法和流程，并主动监控表明此类行为的代码执行。”