sesli sohbet

Kripto para madenciliği AWS Lambda’ya özgü kötü amaçlı yazılım tespit edildi • Kayıt

0


Cado Security, AWS Lambda sunucusuz ortamlarında çalışmak ve kripto para madenciliği yapmak için hususi olarak tasarlanmış bir kötü amaçlı yazılım türü keşfettiğini söylüyor.

Ekip, Denonia adlı kötü yazılımın iyi mi kullanıldığını tam olarak bilmediğini kabul etti, sadece bir tahminde bulunabilirsiniz.

Cado’dan Matt Muir Çarşamba günü teknik bir yazıda, “Bu, AWS erişiminden ve gizli saklı anahtarlardan taviz verme ve arkasından güvenliği ihlal edilmiş Lambda ortamlarına manuel olarak dağıtma meselesi olabilir” dedi.

Cado Security CTO’su ve kurucu ortağı Chris Doman, güvenlik firmasının yalnızca AWS Lambda’da çalışan kötü amaçlı yazılımı gördüğünü, sadece Linux aromalı öteki ortamlarda çalıştırılabileceğini söylemiş oldu. Kayıt Bu hafta.

Denonia, bildiğimiz kadarıyla, yasa dışı madencilik çalışmalarından daha kötü bir şey için kullanılmamasına karşın, “saldırganların karmaşık bulut altyapısından yararlanmak için gelişmiş buluta özgü detayları iyi mi kullandığını gösteriyor ve potansiyel geleceğin, daha hain bulunduğunun göstergesi. saldırılar,” diye yazdı Muir, kodu araştırmadaki yardımları için Doman, Al Carchrie ve Paul Scott’a teşekkür etti.

Denonia hakkında sual sorulduğunda, bir AWS sözcüsü bizlere bulut ortamınızda nelerin çalıştığıyla ilgili olarak satın alan olarak büyük seviyede size bağlı bulunduğunu söylemiş oldu:

Amazon ve öteki bulut sağlayıcılarının paylaşılan mesuliyet güvenlik modeli kapsamında, AWS temel ortamın güvenliğini sağlar – bu durumda Lambda – satın alan ise kendi verilerinin ve Lambda işlevlerinin güvenliğini sağlamaktan mesuldür. Başka bir deyişle, Lamba ortamınıza Denonia alırsanız, muhtemelen onu tam olarak korumamış yada korumamışsınızdır.

Muir, Lambda’nın güvenlik yararlarını altını çizdi. “Yönetilen emek harcama zamanı ortamı, daha geleneksel bir sunucu ortamına kıyasla hücum yüzeyini azaltır” diye yazdı.

“Sadece, kısa emek harcama süresi süreleri, oldukça sayıda yürütme ve Lambda işlevlerinin dinamik ve geçici doğası, ihtimaller içinde bir uzlaşmayı tespit etmeyi, araştırmayı ve cevap vermeyi zorlaştırabilir.”

kodun içinde

Cado, incelemiş olduğu kötü amaçlı yazılım örneğinin SHA256 A31a…cbbca karmasına haiz bulunduğunu söylemiş oldu.

Kod, Google’ın Go programlama dilinde yazılmıştır; Muir, bunun kötü amaçlı yazılım geliştiricileri için çekici bulunduğunu, şu sebeple platformlar arası, bağımsız statik olarak bağlantılı yürütülebilir dosyalar oluşturmak için kullanımı kolay bulunduğunu söylemiş oldu. Ortaya çıkan kod yekpare bir blob olabilir, bu da tersine mühendisliği zahmetli hale getirir ve ek olarak dizeler C seçimi boş sonlandırıcılarla saklanmaz, bu da ikiliyi incelemeyi birazcık bunaltıcı hale getirir.

Cado’nun analizinde, Denonia’nın “öteki bilinmeyen işlevlerle beraber” Monero-madenciliği XMRig’in özelleştirilmiş bir varyantını ihtiva ettiği ortaya çıktı. Dinamik analizi esnasında Denonia, yürütmeyi durdurdu ve bir Lambda AWS ortam değişkeninin tanımlanmadığı mevzusunda bir hata kaydetti. Bu, Cado ekibine bu kötü amaçlı yazılımın iyi mi yerleştirileceğine dair bir ipucu verdi.

Muir’in belirttiği şeklinde:

Denonia’nın Cado’nun sanal alanında lüzumlu ortam değişkenlerini manuel olarak ayarladıktan sonrasında daha çok analizi, yazılımın Lambda haricinde ve bir Linux ortamında “mutlu bir halde yürütüleceğini” gösterdi. Muir, bunun Lambda’nın Linux tabanlı olması sebebiyle bulunduğunu öne sürdü, “bu yüzden kötü amaçlı yazılım Lambda’da çalıştırıldığına inanıyordu.”

Infosec ekibi ek olarak kötü amaçlı yazılımın, Lambda işlevleri yazmak için araçlar, bir Lambda çağırma isteğinden bağlamsal detayları almaya yönelik yardımcılar, Go için genel AWS yazılım geliştirme kitleri ve Go’da HTTPS üstünden DNS dahil olmak suretiyle birkaç üçüncü taraf Go kitaplığı içerdiğini kaydetti.

Muir, HTTPS üstünden DNS (DoH) kullanımının garip bulunduğunu belirtti. DoH, DNS sorgularını şifreler ve alan adı isteklerini, kötü amaçlı yazılım yazarları için “oldukça olağan dışı bir seçim” olan düzgüsel HTTPS trafiği olarak gönderir. Bununla beraber, bu yaklaşım birkaç yarar sağlar.

İlk olarak, AWS’nin DNS aramalarını görmesini engeller, bu da kötü amaçlı yazılımın tesir alanı adı sorgularından algılanma ve durdurulma şansını azaltır. Ek olarak, VPC ayarlarına bağlı olarak bazı Lambda ortamları DNS aramaları yapamayabilir.

Bu hususi durumda, kötü amaçlı yazılım gw için bir DoH isteği gönderdi.[.]denonia[.]xyz, tesir alanı için bir IP adresi döndüren Google’ın DNS hizmetine. Bu bilgiler bir yapılandırma dosyasına kaydedilir. Denonia hemen sonra XMRig’i bellekten yürütür ve bir madencilik havuzuyla yazışma kurar, böylece kötü amaçlı yazılım yazarının kurbanın bulut kaynaklarını kripto için madencilik yapmak için kullanmasını sağlar.

Kimin sorumluluğunda?

Üçüncü taraf güvenlik analistleri, Lambda kötü amaçlı yazılım araştırmasına tepkilerinde karışıktı.

Kod güvenliği şirketi BluBracket’in ürün ve geliştirici ilişkileri başkanı Casey Bisson, “Raporda AWS’nin altyapısının savunmasız bulunduğunu gösteren hiçbir şey yok” diye yazdı. Kayıt.

Herhangi bir şey olursa, şirketlerin güvenlik otomasyonu uygulamasının geciktiğini gösteriyor, dedi ve daha iyi seyretme ve otomatik gizli saklı yönetimin destek olabileceğini de ekledi, şu sebeple Denonia ile enfekte olan Lamba ortamlarının sızdırılmış belirteçler yada anahtarlar kanalıyla tehlikeye atılmış olması olası.

Bisson, “Lambda örnekleri bolca ve çoğu zaman kötü izleniyor, bu da onları hücum için olgunlaştırıyor ve potansiyel olarak güvence altına alınmasını zorlaştırıyor” dedi. “Mirai botnet’i mümkün kılan oldukça sayıda, izlenmeyen ve zayıf güvenlikli IoT cihazlarına benzer bir durum.”

Orca Security CEO’su Avi Shua, Bisson’un, geliştiricilerin kötüye kullanılabilecek sırları kaldırmasına destek olmak için otomatik kod taraması çağrısını yineledi. Bulut güvenlik firmasının Lambda ile alakalı araştırmasını ve kullandığı sırları not etti. Shua bir e-postada “Lambda işlevlerinin neredeyse yüzde 30’u ortam değişkenlerinde sırlar içeriyor” dedi.

“Bu sırlar anahtarlar, yetkilendirme jetonları, şifreler ve gizli saklı tutulması ihtiyaç duyulan her şey olabilir” diye ekledi. “Kötü amaçlı yazılım vesilesiyle çalınırsa, bu sırlar, PII ve öteki mühim verilere ulaşmak için S3 kovaları şeklinde öteki bağlantılı alanlara erişmek için de kullanılabilir.”

Git

GitHub, iletilen koddaki sırları tarayarak sızıntıları ele alıyor

DAHA FAZLA OKU

Öteki güvenlik analistleri, Denonia’nın, bilhassa sunucusuz işlevler şeklinde daha yeni informasyon işlem modellerinde, paylaşılan mesuliyet güvenlik modeli hakkında devamlı bir kafa karışıklığı gösterdiğini belirtti.

AI güvenlik şirketi Vectra’nın CTO’su Oliver Tavakoli bir e-postada paylaşılan mesuliyet “soyut bir kavram olarak kulağa mükemmel geliyor” dedi. Sadece Lambda kullanan birçok kuruluşun güvenlikle ilgili neticelerini anlamadığını da sözlerine ekledi.

“Müşterilerini bu etkisinde bırakır mevzusunda eğitmek ve müşterileri yeterince anlaşılmamış risklere maruz bırakırken dağıtım sürtünmesini azaltanlara kıyasla güvenli dağıtım olasılığını artıran varsayılanları seçmek bulut hizmeti sağlayıcılarının sorumluluğundadır” dedi.

Güvenlik operasyonları şirketi Netenrich’in başlıca tehdit avcısı John Bambinek, kripto madenciliğin kötü niyetli kişiler için “düşük bir meyve” olmasına karşın, bunların bilhassa Lambda ortamlarını hedeflediğini ilk kez gördüğünü söylemiş oldu.

Bambinek bir e-postada, “Bu vaka, paylaşılan mesuliyet modelinin bulanık bir DMZ’sini ortaya koyuyor.” Dedi. “Amazon, Lambda ortamının güvenliğini sağlarken ve satın alan, kodunu ve hesap bilgilerini güvence altına alırken, sual, hesap devralmalarının iyi mi ele alındığıdır? Amazon, bunun müşterinin sorumluluğunda olduğuna inanıyor ve birçok kurum, Amazon’un bazı kontrolleri yapması gerektiğine inanıyor.”

“Her iki durumda da, Amazon’un kendi ortamlarında kripto para birimi madenciliğini kolayca tespit etmesi ve engellemesi (bunun için hususi olarak tasarlanmış örnekler hariç) muhtemelen asla zekice değil” diye ekledi. ®

Cevap bırakın