帳單暴增 100 倍，客戶竟然沒發現：雲端被挖礦，比你想的更常見｜專家論點【黃婉中】

作者：黃婉中（雲端架構師）

加強帳號安全、設警報、定期清理閒置資源，還要準備緊急帳號，才能防止算力被偷用。

上個月，我和往常一樣追蹤每位客戶的 Azure 使用狀況，忽然發現一個很顯眼的數字：某客戶的帳單暴增了一百倍。

我立刻聯絡客戶，想確認是不是有什麼新專案在跑，或是大規模的測試上線，但心裡有個不太好的預感。
幾個小時後，客戶回覆了。果然，他們的帳號被拿去挖礦，自己完全不知道。

我請客戶立刻從 Log 裡檢查異常登入，移除那些陌生帳號。但狀況比想像中嚴重。他們發現自己沒有權限。駭客早一步把訂閱所有權轉走，所以資源池變成別人的。

他們無法在 Portal 停止服務，只能眼睜睜看著帳單往上跳。最後還是靠後台協助，才終於停止帳單暴增。

跟同事討論一陣後，發現雲端環境被挖礦的案例很多，各廠都不能倖免。最可怕的是無法及時發現。

其實，這種事很常見

這類攻擊的手法並不是什麼新潮的技術，最常見的是密碼潑灑（Password Spray）攻擊：用一組常見或猜得到的密碼去嘗試大量帳號，成功後便用受害租戶的權限建立 Container 或 VM，安裝挖礦程式並開挖。
整套流程很快，如果沒有設好偵測規則，駭客能在租戶內停留很久。

如何降低損失和預防？我們可以從身份、監控、生命週期管理和應急等 4 個層面著手。

身份與權限

大家都知道要裝防火牆，常忽略身份管理，其實，身份管理是雲端資安的核心。
挖礦駭客不需要花力氣突破我們設下的防線，只要撿到沒開多因素驗證（Multi-factor authentication，簡稱 MFA）的管理帳號，就能默默登入，開始挖礦。
除了多因素驗證，最小權限原則、條件式和 Just-In-Time 存取也很關鍵：

• 多因素驗證 ：除了密碼，還要再用一種方式確認你是本人，像是簡訊驗證碼、手機通知、指紋或臉部辨識。沒有 MFA 的帳號，是駭客最愛的獵物。
• 最小權限原則：分層、細分角色，別讓人人是 Owner。權限只給到他們完成工作所需的最小範圍。
• 條件式存取（Conditional Access）：限制可登入管理界面的地理位置、裝置、或風險等級，不是只要通過密碼驗證就能登入。
• JIT（Just-In-Time）存取：臨時提升權限，時間到自動收回，比起長期開放權限安全得多。

監控與預警

這次客戶能發現異常，是因為帳單暴衝。但帳單只是結果，我們絕對可以透過預警，把損失降到更小，譬如設定預算（Budget），當使用量或成本超過預算範圍就觸發警報。
此外，也可結合 Azure Monitor、Defender for Cloud、或 DDoS Protection，建立更完整的警報鏈。

生命週期管理（Lifecycle Management）

另一個常見的漏洞是閒置資源，這些「睡著的資源」對攻擊者來說是完美的藏身之處：沒有使用紀錄也沒人定期檢查。駭客就是利用這些資源，安靜地把我們的算力變成他們的現金流。
閒置的 VM、容器、或儲存帳戶都是攻擊者的理想藏身之處。

把資源納入生命週期管理，包含：

• 定期盤點所有服務的活動狀態。
• 把「閒置資源」列為監控項目。
• 在建置流程加入到期自動檢視機制與自動清除流程，避免一個測試環境忘了關就一直活著。

就像房子空久了沒人住，也要定期巡視。定期管理沒在用的服務，別讓閒置資源成為後門。

緊急存取帳號（Break Glass Account）

這次事件，之所以隔了幾天才能讓駭客停止入侵，是因為客戶沒有任何能搶回控制權的緊急存取帳號（Break Glass Account），這是一種後門保險機制。建立兩個獨立帳號，不受 MFA、Conditional Access 影響，這些帳戶具有高度特殊許可權，且不會指派給特定個人。平常鎖起來，緊急時啟用。
這能確保即使駭客偷偷建立了新的訂閱，我們仍能登入並取回資源層控制。

駭客不一定要偷你的資料，有時候是想偷算力。
學會管理權限、監控與資源生命週期，企業才能安全上雲，而不被綁架。