小心！AWS 社群 AMI 被植入挖礦軟體 企業付錢駭客數錢

安全研究人員呼籲在社群 Amazon 機器映像檔 (Amazon Machine Images, AMI) 上跑 EC2 (Elastic Cloud Compute) 執行個體的 AWS 客戶應檢查一下是否有惡意嵌入程式碼，因為他們發現到社群 AMI 潛藏著挖礦軟體。

AMI 是具備軟體組態（包括作業系統、應用伺服器和應用程式）的範本，是啟動 VM 的必要元件。使用者要嘛從 AMI 啟動執行個體，要嘛啟動 AMI 複本形成雲端上的虛擬伺服器。必要時使用者可以在一個 AMI 上，啟動多個同樣組態的執行個體，或是以不同 AMI 啟動不同組態的執行個體。

AMI 因使用者需求而異，而且在 Amazon 上也有很多方法取得。其之一是 AWS Marketplace，使用者可以買斷 AMI 或按使用量付費。這些 AMI 都經過 Amazon 驗證，只能由經許可的使用者出版。Amazon EC2 和 Marketplace 整合，因此開發人員也可以向其他 EC2 使用者按 AMI 使用量收費。

另外，Amazon EC2 允許使用者建立社群 AMI、公開並分享給其他 AWS 帳號。有些建立社群 AMI(community AMI) 的人允許全部有 AWS 帳號者啟動 AMI，有些人只允許特定帳號。而啟動社群 AMI 的人花錢不是為了 AMI 本身，而是支付那台機器上使用的運算和儲存資源。

使用者或許會為了省錢而選擇社群 AMI，但是值得注意的是，不像 Marketplace AMI，社群 AMI 並未經由 Amazon 驗證。安全廠商 Mitiga 技術長 Ofer Maor 指出，最近他們為一家金融業客戶測試一台 Windows 2008 Server 機器時發現到事有蹊蹺，發現它跑得很慢，進一步又發現它使用的運算資源超出異常。

經過研究，他們發現這台機器上跑得 EC2 伺服器上跑著一個 Monero 挖礦軟體。有人提供了社群免費資源，讓它們得以在幕後挖礦（Monero 幣）。這就是為什麼它那麼吃資源的元兇。

也就是說跑 AMI 的人付費買單，但挖到的加密貨幣落入攻擊者的口袋，Maor 說。而一家大公司可能永久都不會注意到多了這一筆，因為它的 Amazon 帳號的帳單已經高達數十萬美元。

Mitiga 估計這個 AMI 已經存在 5 年多，挖礦者也可能從一開始就搭起了便車，似乎出版這個 AMI 的人本來就打算向 AWS 客戶賺運算費用，還要藉機發加密貨幣財。

雖然安全研究人員沒有數千個 AMI 都檢查過，但以他們的經驗，他們判斷其他 AMI 也可能有同樣問題，而且攻擊者只要知道雲端的運作原理，這類攻擊難度並不高。

但研究人員說，AMI 的安全隱憂不只有被挖礦而已，攻擊者可能植入後門使它連上 Windows 機器，就可以在目標環境上遊走，再不然也可以植入有延遲啟動功能的勒索軟體，過一陣子再發作。「社群 AMI 裏有什麼，沒有很好的驗證或控管，」Maor 說。

由於公開的 AMI 很容易進行惡意行為，Mitiga 建議企業，在使用這類 AMI 前應驗證有無惡意程式碼，或者找值得信賴的 AMI 供應商更為保險，像 Amazon Marketplace 就是比較好的選擇，因為在 Marketplace 上出版的 AMI 都必須經過 Amazon 驗證，也都經過合作夥伴方案控管。

來源：Dark Reading