首隻鎖定AWS Lambda無伺服器平台的惡意程式－Denonia現身

安全廠商發現首隻瞄準Amazon Web Service (AWS) Lambda無伺服器運算平台的惡意程式正在網路上流傳。

安全廠商Cado Labs研究人員Matt Muir依據這隻程式根據它連線的網域，將之命名為Denonia。它使用新的網址解析手法取得指令和控制(command and control)流量，以躲避一般的偵測措施和網路存取控制。

研究人員於今年2月25日首先發現Denonia，是一隻鎖定x86-64平台的64-bit ELF執行檔樣本上傳到Virus Total資料庫，不過後來發現一月就有一隻Denonia，顯示攻擊可能持續了幾個月。Denonia是以Go語言撰寫而成，內有挖礦程式XMRing的變種。研究人員發現時它已經挖到了價值4.5萬美元的Monero幣。

它怎麼進入AWS Lambda的目前還不清楚，但可能是利用外流的AWS存取憑證及金鑰。研究人員說，它並非開採Lambda或任何AWS服務的漏洞，全靠騙來的存取憑證，因此也缺乏非授權存取系統的能力。

Denonia另一特點是使用DNS over HTTPS (DoH)和C&C伺服器通訊，以加密DNS查詢連線來隱藏流量。

AWS對此回應，Lambda預設是安全的，AWS上的運行也未變更設計，如果用戶違反可接受的使用者政策(acceptable use policy, AUP)，將會被禁止使用服務。

Denonia會在執行前檢查Lambda環境變項，顯然是為Lambda專門設計，但Cado Labs研究人員也發現它除了Lambda，在幾個非標準Linux伺服器環境，像是Amazon Linux沙箱上也可以順暢執行。研究人員懷疑是因為Lambda的「無伺服器環境」讓惡意程式即使跑在Linux上也以為自己是在Lambda環境。

以破壞力而言，Denonia只會挖礦，算是相當較溫和的，但是研究人員指出。這也顯示攻擊者已經利用對雲端的了解，利用雲端複雜能力來謀利，未來也可能會出現惡性更重大的攻擊程式。

來源: The Hacker News