发现首个针对AWS Lambda无服务器平台的恶意软件

在野外发现了首个针对Amazon Web Services（AWS）Lambda无服务器计算平台的恶意软件。

Cado实验室研究员马特·穆尔说，该恶意软件以其通信的域名命名为“Dennia”，它使用新的地址解析技术来处理命令和控制流量，以逃避典型的检测措施和虚拟网络访问控制。

这家网络安全公司分析的工件于2022年2月25日上传到VirusTotal数据库，其名称为“python”，并打包为64位ELF可执行文件。

然而，文件名用词不当，因为Dennia是在Go中编程的，并且包含了XMRig加密货币挖掘软件的定制变体。也就是说，初始访问模式未知，尽管怀疑它可能涉及AWS访问和密钥的泄露。

该恶意软件的另一个显著特征是使用HTTPS上的DNS（DoH）与其命令和控制服务器（“gw.denonia[.]通过在加密的DNS查询中隐藏流量。

在与《黑客新闻》分享的一份声明中，亚马逊强调“Lambda在默认情况下是安全的，AWS继续按设计运行”，违反其可接受使用策略（AUP）的用户将被禁止使用其服务。

Denonia显然是针对AWS Lambda设计的，因为它在执行之前会检查Lambda环境变量，但Cado实验室也发现它可以在标准Linux服务器环境中运行。

“研究人员描述的软件没有利用Lambda或任何其他AWS服务中的任何弱点，”该公司说。“由于该软件完全依赖于通过欺诈手段获得的帐户凭据，因此将其称为恶意软件是对事实的歪曲，因为它本身无法获得对任何系统的未经授权访问。”

然而，“python”并不是迄今为止发现的唯一Denonia病毒样本，卡多实验室发现了第二个样本(名为“bc50541af8fe6239f0faa7c57a44d119.virus”)，该样本于2022年1月3日上传到VirusTotal。

穆尔说：“虽然第一个样本相当无害，因为它只运行加密挖掘软件，但它展示了攻击者如何利用先进的云特定知识来利用复杂的云基础设施，并预示着未来可能发生更邪恶的攻击”。