本文轉(zhuǎn)自微信公眾號(hào)“開源云中文社區(qū) (ID:openstackcn)”。
AWS Lambda是無服務(wù)器計(jì)算的典型代表,今年已經(jīng)7歲了。所以,也許令人驚訝的不是第一個(gè)專門針對(duì)Lambda的惡意軟件Dennia出現(xiàn)了,而是它終于出現(xiàn)了。
不過,需要注意的是,盡管Dennia在Lambda上運(yùn)行,但它并不是一個(gè)特定于Lambda的程序。相反,它是一個(gè)Linux 64位ELF可執(zhí)行文件,它使用多個(gè)第三方庫(kù),包括一個(gè)使其能夠在AWS Lambda環(huán)境中運(yùn)行的庫(kù)。
云安全公司Cado security的安全研究員Matt Muir發(fā)現(xiàn)了它,他說,雖然該程序的文件名為“python”,但實(shí)際上是用Go編寫的。這個(gè)討厭的軟件包含一個(gè)定制的開源XMRig挖掘軟件變體。
“Dennia顯然是為在Lambda環(huán)境中執(zhí)行而設(shè)計(jì)的——我們還沒有確定它是如何部署的。這可能只是一個(gè)折中AWS訪問和密鑰的問題,然后手動(dòng)部署到折中的Lambda環(huán)境中,就像我們以前在更簡(jiǎn)單的Python腳本中看到的那樣。”
泄露賬戶
似乎這就是Denonia的傳播方式。它不能自行傳播。它需要一個(gè)已經(jīng)泄露的用戶賬戶。
正如AWS在一份聲明中指出的,Dennia“沒有利用Lambda或任何其他AWS服務(wù)中的任何弱點(diǎn)”,它依靠“通過欺詐獲得的賬戶憑證”進(jìn)入AWS的大門。因此,AWS得出結(jié)論,Dennia并不是真正的惡意軟件,因?yàn)?ldquo;它本身缺乏獲得對(duì)任何系統(tǒng)的未經(jīng)授權(quán)訪問的能力。”
事實(shí)上,雖然自行傳播的惡意軟件比不傳播的惡意軟件危險(xiǎn)得多,但大多數(shù)安全專家都認(rèn)為它仍然是惡意軟件。盡管如此,AWS聲稱“將Dennia稱為以Lambda為中心的惡意軟件是對(duì)事實(shí)的歪曲,因?yàn)樗贚ambda服務(wù)中沒有使用任何漏洞。”但你還是不會(huì)想讓它在你的Lambda服務(wù)上運(yùn)行。
Dennia也可以在Lambda之外運(yùn)行。它也將在通用的64位Linux上運(yùn)行。
DNS over HTTPS(DoH)
另一個(gè)讓Dennia變得危險(xiǎn)的因素是,它沒有使用DNS聯(lián)系其控制器,而是通過HTTPS(DoH)使用DNS。DoH加密DNS查詢,并將請(qǐng)求作為常規(guī)HTTPS流量發(fā)送到DoH解析程序。Muir評(píng)論說,對(duì)于攻擊者來說,它提供了兩個(gè)優(yōu)勢(shì):
——AWS無法查看惡意域的DNS查找,從而降低觸發(fā)檢測(cè)的可能性。
——某些Lambda環(huán)境可能不執(zhí)行DNS查找,具體取決于VPC設(shè)置。
DoH一直存在嚴(yán)重的安全問題。正如DNS的創(chuàng)建者Paul Vixie在2018年的推文中所說,“RFC 8484(定義DoH的評(píng)論請(qǐng)求)是互聯(lián)網(wǎng)安全的一個(gè)集群。很抱歉給你們帶來麻煩。囚犯?jìng)円呀?jīng)接管了避難所。”
世界上最大的網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)之一的SANS研究所表示,“完全使用加密DNS,尤其是HTTPS上的DNS,可能會(huì)讓攻擊者和內(nèi)部人員繞過組織控制。”Dennia對(duì)DoH的使用表明迄今為止理論上的擔(dān)憂存在著真正的危險(xiǎn)。
不過,盡管Lambda本身比其他計(jì)算環(huán)境更安全,但請(qǐng)記住,正如亞馬遜警告的那樣,“在AWS共享責(zé)任模型下,AWS保護(hù)了基礎(chǔ)Lambda執(zhí)行環(huán)境,但保護(hù)功能的責(zé)任在于客戶自己。”換句話說,如果你打開了Dennia這樣的程序的大門,那是你的安全問題,而不是AWS的問題。
所以,要小心!AWS有一份關(guān)于保護(hù)Lambda環(huán)境的白皮書,建議你使用其建議。Lambda可能比大多數(shù)計(jì)算平臺(tái)更安全,但安全性是一個(gè)過程,而不是一個(gè)產(chǎn)品。你也必須做好自己的本分。
原文鏈接:
https://thenewstack.io/first-malware-running-on-aws-lambda-discovered/