Ši nauja kenkėjiška programa skirta AWS Lambda aplinkai

Buvo aptiktas naujas kenkėjiškos programos variantas, skirtas AWS Lambda.

Trečiadienį mokslininkai iš Cado apsauga paskelbė savo išvadas apie Denonia – kenkėjiškas programas, kurios šiuo metu naudojamos tikslinėms atakoms prieš Lambda.

Lambda yra keičiamo dydžio skaičiavimo paslauga, kurią siūlo „Amazon Web Services“ (AWS), skirta kodo, serverio ir OS priežiūrai, pajėgumų teikimui, registravimui ir daugelio galinių paslaugų valdymui.

„Cado Security“ teigimu, šiai debesijos paslaugai, kurią visame pasaulyje naudoja MVĮ ir įmonių žaidėjai, dabar gresia kenkėjiškų programų padermė.

Negalima painioti su Lambda ransomware

, kibernetinio saugumo tyrinėtojų manymu, pirmas žinomas viešas atvejis, buvo rastas kenkėjiškos programos pavyzdys, kuris, nors ir turi failo pavadinimą python, yra parašytas Go programavimo kalba.

Analizės metu „Denonia“ užregistravo klaidą: „[_LAMBDA_SERVER_PORT AWS _LAMBDA_RUNTIME_API] neapibrėžtas“.

„Tai sukėlė mūsų susidomėjimą, nes šie aplinkos kintamieji yra specifiniai Lambda, o tai suteikia mums užuominų apie aplinką, kurioje turėtų veikti ši kenkėjiška programa“, – teigė komanda.

Tyrėjai nustatė, kad pavyzdys buvo 64 bitų ELF, kurį galima vykdyti tolesnį tyrimą. Kenkėjiška programa taip pat priklauso nuo trečiųjų šalių GitHub bibliotekų, įskaitant tas, kurios skirtos Lambda funkcijų rašymui ir duomenų gavimui iš Lambda iškvietimo užklausų.

Kitas įdomus aspektas yra DNS naudojimas per HTTPS (DoH) per doh-go biblioteką, kuris, komandos nuomone, galėjo būti įgyvendintas, kad AWS neaptiktų kenkėjiškų domenų.

„Cado Security“ nėra tikras, koks atakos vektorius gali būti naudojamas diegiant kenkėjišką programą „Lambda“ aplinkoje. Tačiau komanda spėja, kad tai gali būti scenarijų naudojimas, norint gauti prieigos kredencialus arba slaptus raktus iš prastai apsaugotų sąrankų.

Cado tyrėjai sakė:

„Dinaminės analizės metu nustatėme, kad mėginys mielai tęs vykdymą už Lambda aplinkos ribų (t. y. vanilinėje Amazon Linux dėžutėje).

Manome, kad tai greičiausiai dėl Lambda „be serverio“ aplinkos, naudojančios Linux po gaubtu, todėl kenkėjiška programa tikėjo jis buvo paleistas naudojant Lambda (kai rankiniu būdu nustatėme reikiamus aplinkos kintamuosius), nepaisant to, kad jis buvo paleistas mūsų smėlio dėžė“.

Kenkėjiška programa atmintyje vykdo pritaikytą XMRig versiją. XMRig yra kalnakasys, naudojamas išgauti Monero kriptovaliutą, panaudojant kompiuterio išteklius. Tai rodo, kad kūrėjo tikslai gali būti grynai finansiniai, o „Denonia“ gali suteikti galimybę pavogti skaičiavimo išteklius, kad būtų galima generuoti parduodamas monetas.

„Nors šis pirmasis pavyzdys yra gana nekenksmingas, nes jame veikia tik šifravimo programinė įranga, jis parodo, kaip užpuolikai naudoja pažangias su debesimis susijusios žinios, kad būtų galima išnaudoti sudėtingą debesų infrastruktūrą, ir tai rodo potencialias būsimas niekšiškesnes atakas“, – teigia mokslininkai. pasakyti.

Antrasis pavyzdys buvo įtrauktas į „VirusTotal“.

Atnaujinimas 8/4: AWS atstovas spaudai sakė pareiškime:

„Lambda pagal numatytuosius nustatymus yra saugi, o AWS ir toliau veikia taip, kaip numatyta. Klientai gali paleisti įvairias programas „Lambda“, o tai yra kitaip neišsiskiria nuo galimybės paleisti panašią programinę įrangą kitose vietinėse arba debesyje skaičiavimo aplinkos.

Tačiau AWS turi priimtino naudojimo politiką (AUP), kuri draudžia pažeisti bet kurio vartotojo, tinklo saugumą, vientisumą ar pasiekiamumą, kompiuteriu ar ryšių sistema, programine įranga, tinklu ar kompiuteriniu įrenginiu, ir visiems, kurie pažeidžia mūsų AUP, nebus leista naudotis mūsų paslaugos."

Taip pat žr

• FIN7 įsilaužėliai plėtoja operacijas naudodami išpirkos reikalaujančią programinę įrangą, naujas užpakalines duris
  
• Kinijos įsilaužėliai Deep Panda grįžta su Log4Shell išnaudojimais, nauju Fire Chili rootkit
  
• Borat RAT kenkėjiška programa: „unikali“ triguba grėsmė, kuri toli gražu nėra juokinga
  

---

Turite patarimą? Saugiai susisiekite per WhatsApp | Signalas +447713 025 499 arba per Keybase: charlie0

---