malware attack

Penyerang membuat malware untuk platform komputasi tanpa server seperti AWS Lambda

Pembuat malware mengikuti waktu dan ketika datang ke malware berorientasi server. Secara khusus, penyerang akan mengadopsi teknologi yang sama dengan yang digunakan organisasi goal mereka. Peneliti keamanan baru-baru ini menemukan penambang cryptocurrency yang dirancang untuk berjalan di dalam AWS Lambda, yang disebut platform komputasi tanpa server yang dirancang untuk mengeksekusi kode aplikasi yang disediakan pengguna sesuai permintaan.

“Meskipun sampel pertama ini cukup tidak berbahaya karena hanya menjalankan perangkat lunak cryptomining, ini menunjukkan bagaimana penyerang menggunakan pengetahuan khusus cloud yang canggih untuk mengeksploitasi infrastruktur cloud yang kompleks, dan merupakan indikasi potensi masa depan, serangan yang lebih jahat,” peneliti dari Cado Safety yang menemukan program malware, kata dalam laporan mereka.

Malware Denonia

Program jahat, yang ditulis dalam Go, telah dijuluki Denonia dan dikirimkan sebagai ELF 64-bit yang dapat dieksekusi untuk Linux. Para peneliti Cado belum memiliki informasi tentang bagaimana malware dikirimkan, tetapi menduga bahwa kredensial akses AWS dan Kunci Rahasia yang disusupi dapat terlibat.

Malware yang ditulis dalam bahasa pemrograman Go bukanlah hal baru dan semakin umum dalam beberapa tahun terakhir karena menyediakan metode mudah bagi penyerang untuk membuat malware mereka lintas platform dan mandiri. Kelemahannya adalah bahwa file biner jauh lebih besar karena mereka harus berisi semua perpustakaan yang dibutuhkan program alih-alih menautkan secara dinamis ke perpustakaan yang sudah ada di sistem operasi.

Ini juga mempermudah penerapan kode mereka pada platform komputasi tanpa server, yang dirancang untuk mendukung kode dalam berbagai bahasa pemrograman. AWS Lambda secara native mendukung Java, Go, PowerShell, Node.js, C#, Python, dan Ruby.

Dibandingkan dengan komputasi awan tradisional di mana pengguna menyewa mesin digital dan bertanggung jawab untuk mengelola mereka dan sistem operasi mereka, Lambda dan penawaran lain seperti itu memungkinkan pengguna untuk menyebarkan kode yang ditulis dalam bahasa pemrograman yang berbeda yang dijalankan sesuai permintaan berdasarkan peristiwa tanpa perhatian. tentang mengelola infrastruktur komputasi di belakangnya, seperti server dan sistem operasi.

Denonia jelas dibuat dengan mempertimbangkan Lambda karena menyertakan perpustakaan Go sumber terbuka pihak ketiga yang dibuat oleh AWS sendiri untuk berinteraksi dengan platform: aws-sdk-go dan aws-lambda-go. Selanjutnya, ia memeriksa variabel lingkungan Lambda tertentu saat dijalankan, seperti LAMBDA_SERVER_PORT dan AWS_LAMBDA_RUNTIME_API.

“Meskipun ada, kami menemukan selama analisis dinamis bahwa sampel akan dengan senang hati melanjutkan eksekusi di luar lingkungan Lambda (yaitu, pada kotak vanilla Amazon Linux),” kata peneliti Cado. “Kami menduga ini mungkin karena lingkungan ‘tanpa server’ Lambda menggunakan Linux di bawah tenda, jadi malware percaya itu dijalankan di Lambda (setelah kami secara guide mengatur variabel lingkungan yang diperlukan) meskipun dijalankan di kotak pasir kami.”

Komunikasi diam-diam membuat deteksi Denonia sulit

Malware menyembunyikan lalu lintas perintah-dan-kontrol dalam permintaan DNS yang dilakukan ke area yang dikendalikan penyerang dan menyembunyikan permintaan tersebut menggunakan DNS-over-HTTPS (DoH). DoH mengenkripsi konten permintaan DNS, sehingga mekanisme pemeriksaan lalu lintas hanya akan melihat permintaan yang masuk ke resolver DNS HTTPS seperti cloudflare-dns.com atau dns.google.com dan bukan konten kueri yang sebenarnya. Hal ini membuat deteksi lebih sulit dan memungkinkan penyerang melewati pengaturan lingkungan Lambda yang mungkin melarang lalu lintas DNS tradisional melalui port 53.

Malware pada dasarnya adalah pembungkus untuk XMRig, program penambangan cryptocurrency open-source yang sering diadopsi oleh pembuat malware. Ini bahkan bukan pertama kalinya Pelanggan Lambda ditargetkan dengan XMRig, meskipun melalui skrip yang lebih sederhana daripada malware yang kompleks seperti Dedonia. Para peneliti Cado mencatat bahwa sementara malware yang mereka analisis berasal dari Februari, mereka menemukan yang lebih lama dibuat pada bulan Januari di VirusTotal. Jadi, serangan ini telah berjalan selama beberapa bulan.

Platform tanpa server seperti Lambda adalah sumber daya yang bagus untuk organisasi yang lebih kecil yang tidak memiliki staf yang diperlukan untuk mengelola dan mengamankan VM cloud, karena beban manajemen server diturunkan ke penyedia cloud. Namun, mereka masih bertanggung jawab untuk melindungi kredensial dan kunci akses mereka atau mereka dapat dikenakan tagihan besar karena akun mereka disalahgunakan.

“Durasi runtime yang pendek, quantity eksekusi yang tipis, dan sifat dinamis dan singkat dari fungsi Lambda dapat menyulitkan untuk mendeteksi, menyelidiki, dan menanggapi potensi kompromi,” para peneliti Cado memperingatkan. “Di bawah mannequin Tanggung Jawab Bersama AWS, AWS mengamankan lingkungan eksekusi Lambda yang mendasarinya, tetapi terserah kepada pelanggan untuk mengamankan fungsi itu sendiri.”

Hak Cipta © 2022 IDG Communications, Inc.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts