Resim: Sandro Katalina
Güvenlik araştırmacıları, kripto madencileri ile Amazon Web Services (AWS) Lambda bulut ortamlarını hedef almak için özel olarak geliştirilmiş ilk kötü amaçlı yazılımı keşfetti.
AWS Lambda yüzlerce AWS hizmetinden ve hizmet olarak yazılım (SaaS) uygulamasından sunucuları yönetmeden kod çalıştırmak için sunucusuz bir bilgi işlem platformudur.
Sınırlı saldırılarda kullanıldığını tespit eden Cado Security araştırmacıları tarafından Denonia olarak adlandırılan yeni kötü amaçlı yazılım, Monero kripto para birimi için madencilik yapmak üzere özel bir XMRig kripto madencisini dağıtmak üzere tasarlanmış Go tabanlı bir sarmalayıcıdır.
Örnek Şubat ayında VirusTotal’a yüklenen x86-64 sistemlerini hedefleyen 64-bit bir ELF yürütülebilir dosyası olduğunu buldular. Daha sonra keşfettiler ikinci örnek bir ay önce, Ocak ayında yüklendi ve en az birkaç aya yayılan bu saldırıları ima etti.
Cado araştırmacıları, “Bu ilk örnek, yalnızca kripto madenciliği yazılımını çalıştırması bakımından oldukça zararsız olsa da, saldırganların karmaşık bulut altyapısından yararlanmak için gelişmiş buluta özgü bilgileri nasıl kullandığını gösteriyor ve gelecekteki potansiyel, daha hain saldırıların göstergesi” dedi. dedim.
Büyük olasılıkla çalıntı anahtarlar kullanılarak konuşlandırılmış
Cado Security’nin bulamadığı şey, saldırganların kötü amaçlı yazılımlarını güvenliği ihlal edilmiş ortamlara nasıl yerleştirebildikleriydi.
Ancak, bilgisayar korsanlarının çalıntı veya sızdırılmış AWS Erişim ve Gizli Anahtarları kullandığından şüpheleniyorlar. daha önce bash betiklerini teslim etmek için kullanılıyordu madencileri indirmek ve çalıştırmak için tasarlanmıştır. Bu, madencinin birkaç hafta aktif kalmasından sonra 45.000 dolarlık masrafa yol açtı.
Bu, bu tür yönetilen çalışma zamanı ortamlarının saldırı yüzeyini azaltırken, yanlış yerleştirilmiş veya çalınmış kimlik bilgilerinin, olası bir uzlaşmanın zor tespit edilmesi nedeniyle hızla büyük mali kayıplara yol açabileceğini göstermektedir.
Araştırmacılar, “AWS Paylaşılan Sorumluluk modeli kapsamında, AWS, temeldeki Lambda yürütme ortamının güvenliğini sağlar, ancak işlevlerin güvenliğini sağlamak müşteriye bağlıdır” diye ekledi.
Ayrıca evde Linux sistemlerinde
Denonia, yürütmeden önce Lambda ortam değişkenlerini kontrol ettiğinden AWS Lambda’yı hedef alacak şekilde tasarlanmış olsa da, Cado Security ayrıca en azından bazı Linux sistemlerinde (örneğin, Amazon Linux kutuları) sorunsuz çalışabileceğini keşfetti.
Araştırmacılar, “Bunun varlığına rağmen, dinamik analiz sırasında örneğin bir Lambda ortamı dışında (yani bir vanilya Amazon Linux kutusunda) yürütmeye mutlu bir şekilde devam edeceğini keşfettik” dedi.
“Bunun muhtemelen kaputun altında Linux kullanan Lambda “sunucusuz” ortamlardan kaynaklandığından şüpheleniyoruz, bu nedenle kötü amaçlı yazılım, korumalı alanımızda çalıştırılmasına rağmen Lambda’da (gerekli ortam değişkenlerini manuel olarak ayarladıktan sonra) çalıştırıldığına inanıyordu.”
Kötü amaçlı yazılım ayrıca, normal düz metin DNS sorguları yerine şifreli bir HTTPS bağlantısı üzerinden DNS aramaları gerçekleştirmek için HTTPS üzerinden DNS (DoH) kullanır.
Bu, algılamayı tetikleme olasılığını azaltmaya yardımcı olur ve ayrıca, yalnızca Cloudflare ve Google DoH çözümleyicilerine olan bağlantıları ortaya çıkarmak yerine kötü niyetli trafiğini denetleme girişimlerini de engeller.