小心!AWS社群AMI被植入挖礦軟體 企業付錢駭客數錢

安全研究人員呼籲在社群Amazon機器映像檔(Amazon Machine Images, AMI)上跑EC2 (Elastic Cloud Compute)執行個體的AWS客戶應檢查一下是否有惡意嵌入程式碼,因為他們發現到社群AMI潛藏著挖礦軟體。

安全研究人員呼籲在社群Amazon機器映像檔(Amazon Machine Images, AMI)上跑EC2 (Elastic Cloud Compute)執行個體的AWS客戶應檢查一下是否有惡意嵌入程式碼,因為他們發現到社群AMI潛藏著挖礦軟體。

AMI是具備軟體組態(包括作業系統、應用伺服器和應用程式)的範本,是啟動VM的必要元件。使用者要嘛從AMI啟動執行個體,要嘛啟動AMI複本形成雲端上的虛擬伺服器。必要時使用者可以在一個AMI上,啟動多個同樣組態的執行個體,或是以不同AMI啟動不同組態的執行個體。

AMI因使用者需求而異,而且在Amazon上也有很多方法取得。其之一是AWS Marketplace,使用者可以買斷AMI或按使用量付費。這些AMI都經過Amazon驗證,只能由經許可的使用者出版。Amazon EC2和Marketplace整合,因此開發人員也可以向其他EC2使用者按AMI使用量收費。

另外,Amazon EC2允許使用者建立社群AMI、公開並分享給其他AWS帳號。有些建立社群AMI(community AMI)的人允許全部有AWS帳號者啟動AMI,有些人只允許特定帳號。而啟動社群AMI的人花錢不是為了AMI本身,而是支付那台機器上使用的運算和儲存資源。

使用者或許會為了省錢而選擇社群AMI,但是值得注意的是,不像Marketplace AMI,社群AMI並未經由Amazon驗證。安全廠商Mitiga技術長Ofer Maor指出,最近他們為一家金融業客戶測試一台Windows 2008 Server機器時發現到事有蹊蹺,發現它跑得很慢,進一步又發現它使用的運算資源超出異常。

經過研究,他們發現這台機器上跑得EC2伺服器上跑著一個Monero挖礦軟體。有人提供了社群免費資源,讓它們得以在幕後挖礦(Monero幣)。這就是為什麼它那麼吃資源的元兇。

也就是說跑AMI的人付費買單,但挖到的加密貨幣落入攻擊者的口袋,Maor說。而一家大公司可能永久都不會注意到多了這一筆,因為它的Amazon帳號的帳單已經高達數十萬美元。

Mitiga估計這個AMI已經存在5年多,挖礦者也可能從一開始就搭起了便車,似乎出版這個AMI的人本來就打算向AWS客戶賺運算費用,還要藉機發加密貨幣財。

雖然安全研究人員沒有數千個AMI都檢查過,但以他們的經驗,他們判斷其他AMI也可能有同樣問題,而且攻擊者只要知道雲端的運作原理,這類攻擊難度並不高。

但研究人員說,AMI的安全隱憂不只有被挖礦而已,攻擊者可能植入後門使它連上Windows機器,就可以在目標環境上遊走,再不然也可以植入有延遲啟動功能的勒索軟體,過一陣子再發作。「社群AMI裏有什麼,沒有很好的驗證或控管,」Maor說。

由於公開的AMI很容易進行惡意行為,Mitiga建議企業,在使用這類AMI前應驗證有無惡意程式碼,或者找值得信賴的AMI供應商更為保險,像Amazon Marketplace就是比較好的選擇,因為在Marketplace上出版的AMI都必須經過Amazon驗證,也都經過合作夥伴方案控管。

來源:Dark Reading

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416