En ny malware-variant som riktar sig mot AWS Lambda har upptäckts.
På onsdagen publicerade forskare från Cado Security sina resultat om Denonia, skadlig programvara som för närvarande används i riktade attacker mot Lambda.
Lambda är en skalbar beräkningstjänst som erbjuds av Amazon Web Services (AWS) för att köra kod, underhåll av server och operativsystem, kapacitetsförsörjning, loggning och drift av många backend-tjänster.
Enligt Cado Security riskerar denna molntjänst – som används av små och medelstora företag och företagsaktörer över hela världen – nu att bli smittad av skadlig kod.
För att inte förväxla med Lambda ransomware, i vad cybersäkerhetsforskarna tror är det första kända offentliga fallet, fann man ett urval av skadlig programvara som, trots filnamnet python, är skriven i programmeringsspråket Go.
Under analysen loggade Denonia ett fel, “[_LAMBDA_SERVER_PORT AWS _LAMBDA_RUNTIME_API] är inte definierad.”
“Detta väckte vårt intresse eftersom dessa miljövariabler är specifika för Lambda, vilket ger oss några tips om miljön där denna skadliga programvara förväntas exekvera”, sa teamet.
Forskarna fann att provet var en 64-bitars ELF-körbar vid ytterligare undersökning. Skadlig programvara förlitar sig också på GitHub-bibliotek från tredje part, inklusive de för att skriva Lambda-funktioner och hämta data från Lambda-anropsbegäranden.
En annan intressant aspekt är användningen av DNS över HTTPS (DoH) via doh-go-biblioteket, som teamet tror kunde ha implementerats för att stoppa AWS från att upptäcka uppslagningar för skadliga domäner.
Cado Security är inte säker på vilken attackvektor som kan vara i spel för att distribuera skadlig programvara i Lambda-miljöer. Teamet spekulerar dock att det kan vara en fråga om att använda skript för att få åtkomstuppgifter eller hemliga nycklar från dåligt säkrade inställningar.
Cados forskare sa:
“Vi upptäckte under dynamisk analys att provet med glädje kommer att fortsätta exekvering utanför en Lambda-miljö (dvs på en vanilj Amazon Linux-box).
Vi misstänker att detta troligen beror på att Lambdas “serverlösa” miljöer använder Linux under huven, så skadlig programvara trodde att den kördes i Lambda (efter att vi manuellt ställt in de nödvändiga miljövariablerna) trots att den kördes i vår sandlåda.”
Skadlig programvara kör en anpassad version av XMRig i minnet. XMRig är en gruvarbetare som används för att bryta Monero-kryptovalutan genom att utnyttja en dators resurser. Detta tyder på att utvecklarens mål kan vara rent ekonomiska, med Denonia som potentiellt ger ett sätt att stjäla datorresurser för att generera säljbara mynt.
“Även om det här första provet är ganska ofarligt genom att det bara kör kryptomineringsprogram, visar det hur angripare använder avancerad molnspecifik kunskap för att utnyttja komplex molninfrastruktur, och är en indikation på potentiella framtida, mer smutsiga attacker”, säger forskarna.
Ett andra prov har sedan lagts till VirusTotal.
Uppdatering 8/4: En talesperson för AWS sa i ett uttalande:
“Lambda är säkert som standard, och AWS fortsätter att fungera som designat. Kunder kan köra en mängd olika applikationer på Lambda, och detta går annars inte att särskilja från att upptäcka möjligheten att köra liknande mjukvara i andra lokala eller molnmiljöer.
Som sagt, AWS har en policy för acceptabel användning (AUP) som förbjuder brott mot säkerheten, integriteten eller tillgängligheten för någon användare, nätverk, dator eller kommunikationssystem, programvara eller nätverk eller datorenhet, och alla som bryter mot vår AUP kommer inte att tillåtas använda våra tjänster.”
Se även
Har du ett tips? Kom i kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
