据黑客新闻报道,第一个专门针对AmazonWebServices的AWSLambda无服务器计算平台设计的恶意软件已经在野外被发现。资料显示,亚马逊云科技于2014年推出了无服务器计算服务AmazonLambda,开创了行业先河,并根据客户需求持续更新迭代。借助AmazonLambda,客户无需预置或管理服务器即可运行代码,几乎涵盖任何类型的应用程序或后端服务,并且只需为调用次数和使用的计算时间(以毫秒计算)付费。CadoLabs安全研究员MattMui表示,该恶意软件使用更新的地址解析技术来命令和控制流量,以逃避典型的检测措施和虚拟网络访问控制。有趣的是,恶意软件在每次入侵后都会将昵称“Denonia”附加到域名上。2022年2月25日,某网络安全公司将分析后的文件上传至VirusTotal数据库,命名为“python”,并打包为64位ELF可执行文件。然而,文件名有点用词不当,因为Denonia是用Go编写的,并且包含XMRig加密货币挖掘软件的自定义变体。也就是说,初始访问的模式是未知的,尽管一些专家怀疑它可能涉及AWS访问和秘密密钥的泄露。该恶意软件的另一个显着特征是它通过将流量隐藏在加密的DNS查询中,使用DNSoverHTTPS(DoH)与其命令和控制服务器(“gw.denonia[.]xyz”)进行通信。对于这条消息,亚马逊特别强调“Lambda默认是安全的,AWS将继续按设计运行”,违反其可接受使用政策(AUP)的人将被禁止使用其服务。虽然Denonia是专门针对AWSLambda设计的,因为它会在执行前检查Lambda的环境变量,但CadoLabs还发现它也可以在标准的Linux服务器环境中运行。“研究人员描述的软件没有利用Lambda或任何其他AWS服务中的任何弱点,并且由于该软件仅依赖于以欺诈方式获得的帐户凭证,因此将其称为恶意软件是对事实的歪曲,”CadoLabs说。因为它天生就缺乏获得对任何系统的未授权访问的能力。值得注意的是,“python”并不是迄今为止发现的唯一Denonia样本,CadoLabs此前发现了另一个样本(名为“bc50541af8fe6239f0faa7c57a44d119.virus”),该样本已于2022年1月3日上传至VirusTotal数据库。MattMui表示,“虽然第一个样本不是很令人反感,因为它只运行加密货币挖矿软件,但它展示了攻击者如何使用先进的云特定知识来利用复杂的云基础设施,并预示着未来可能发生的更可怕的攻击。”参考来源:https://thehackernews.com/2022/04/first-malware-targeting-aws-lambda.html
