本文转自微信公众号“开源云中文社区 (ID:openstackcn)”。
AWS Lambda是无服务器计算的典型代表,今年已经7岁了。所以,也许令人惊讶的不是第一个专门针对Lambda的恶意软件Dennia出现了,而是它终于出现了。
不过,需要注意的是,尽管Dennia在Lambda上运行,但它并不是一个特定于Lambda的程序。相反,它是一个Linux 64位ELF可执行文件,它使用多个第三方库,包括一个使其能够在AWS Lambda环境中运行的库。
云安全公司Cado security的安全研究员Matt Muir发现了它,他说,虽然该程序的文件名为“python”,但实际上是用Go编写的。这个讨厌的软件包含一个定制的开源XMRig挖掘软件变体。
“Dennia显然是为在Lambda环境中执行而设计的——我们还没有确定它是如何部署的。这可能只是一个折中AWS访问和密钥的问题,然后手动部署到折中的Lambda环境中,就像我们以前在更简单的Python脚本中看到的那样。”
泄露账户
似乎这就是Denonia的传播方式。它不能自行传播。它需要一个已经泄露的用户账户。
正如AWS在一份声明中指出的,Dennia“没有利用Lambda或任何其他AWS服务中的任何弱点”,它依靠“通过欺诈获得的账户凭证”进入AWS的大门。因此,AWS得出结论,Dennia并不是真正的恶意软件,因为“它本身缺乏获得对任何系统的未经授权访问的能力。”
事实上,虽然自行传播的恶意软件比不传播的恶意软件危险得多,但大多数安全专家都认为它仍然是恶意软件。尽管如此,AWS声称“将Dennia称为以Lambda为中心的恶意软件是对事实的歪曲,因为它在Lambda服务中没有使用任何漏洞。”但你还是不会想让它在你的Lambda服务上运行。
Dennia也可以在Lambda之外运行。它也将在通用的64位Linux上运行。
DNS over HTTPS(DoH)
另一个让Dennia变得危险的因素是,它没有使用DNS联系其控制器,而是通过HTTPS(DoH)使用DNS。DoH加密DNS查询,并将请求作为常规HTTPS流量发送到DoH解析程序。Muir评论说,对于攻击者来说,它提供了两个优势:
——AWS无法查看恶意域的DNS查找,从而降低触发检测的可能性。
——某些Lambda环境可能不执行DNS查找,具体取决于VPC设置。
DoH一直存在严重的安全问题。正如DNS的创建者Paul Vixie在2018年的推文中所说,“RFC 8484(定义DoH的评论请求)是互联网安全的一个集群。很抱歉给你们带来麻烦。囚犯们已经接管了避难所。”
世界上最大的网络安全培训机构之一的SANS研究所表示,“完全使用加密DNS,尤其是HTTPS上的DNS,可能会让攻击者和内部人员绕过组织控制。”Dennia对DoH的使用表明迄今为止理论上的担忧存在着真正的危险。
不过,尽管Lambda本身比其他计算环境更安全,但请记住,正如亚马逊警告的那样,“在AWS共享责任模型下,AWS保护了基础Lambda执行环境,但保护功能的责任在于客户自己。”换句话说,如果你打开了Dennia这样的程序的大门,那是你的安全问题,而不是AWS的问题。
所以,要小心!AWS有一份关于保护Lambda环境的白皮书,建议你使用其建议。Lambda可能比大多数计算平台更安全,但安全性是一个过程,而不是一个产品。你也必须做好自己的本分。
原文链接:
https://thenewstack.io/first-malware-running-on-aws-lambda-discovered/
