Crédit : Dreamstime
Les auteurs de logiciels malveillants sont dans l’air du temps et lorsqu’il s’agit de serveurs logiciels malveillants orientés. Plus précisément, les attaquants adopteront exactement les mêmes technologies que leurs organisations cibles utilisent.
Les scientifiques en sécurité sont récemment tombés sur un mineur de crypto-monnaie qui a été conçu pour fonctionner à l’intérieur d’AWS Lambda, une soi-disant plate-forme informatique sans serveur créée pour exécuter le code d’application fourni par l’utilisateur selon les besoins.
» Ce premier exemple est relativement inoffensif dans la mesure où il exécute simplement une application logicielle de cryptomining, il montre comment les assaillants utilisent une compréhension innovante spécifique au cloud pour exploiter des installations cloud complexes, et est le signe d’attaques futures potentielles plus néfastes « , ont déclaré les chercheurs de Cado Security qui ont découvert le programme malveillant dans leur rapport.
Le logiciel malveillant Denonia
Le programme destructeur, qui est écrit en Go, a en fait été surnommé Denonia et est livré sous la forme d’un exécutable féerique 64 bits pour Linux . Les scientifiques de Cado ne savent pas encore comment le logiciel malveillant est diffusé, mais supposent que des informations d’identification d’accès AWS et des clés secrètes compromises pourraient être incluses.
Les logiciels malveillants écrits dans le langage des programmes Go ne sont pas nouveaux et ont été très courants. au cours des dernières années, car il fournit aux assaillants une méthode simple pour rendre leurs logiciels malveillants multiplateformes et autonomes. L’inconvénient est que les fichiers binaires sont beaucoup plus volumineux étant donné qu’ils doivent inclure toutes les bibliothèques dont le programme a besoin au lieu de se lier dynamiquement aux bibliothèques déjà existantes sur un système d’exploitation.
Cela simplifie également le déploiement de leur code sur des plates-formes informatiques sans serveur, conçues pour prendre en charge le code dans plusieurs langages d’émission. AWS Lambda prend nativement en charge Java, Go, PowerShell, Node.js, C#, Python et Ruby.
Par rapport au cloud computing conventionnel où les utilisateurs louent des créateurs virtuels et supervisent leur gestion ainsi que leur système d’exploitation, Lambda et d’autres des offres comme celle-ci permettent aux utilisateurs de déployer du code composé dans divers langages de programmation qui est exécuté à la demande en fonction d’événements sans aucun problème de gestion des installations informatiques sous-jacentes, comme les serveurs et les systèmes d’exploitation.
Denonia était clairement créé avec Lambda à l’esprit en raison du fait qu’il se compose de bibliothèques Go open source tierces créées par AWS lui-même pour interagir avec la plateforme : aws-sdk-go et aws-lambda-go. Il examine des variables d’environnement Lambda particulières lors de son exécution, telles que LAMBDA_SERVER_PORT et AWS_LAMBDA_RUNTIME_API.
» Malgré la présence de cela, nous avons découvert tout au long de l’analyse dynamique que l’échantillon poursuivra volontiers son exécution en dehors d’un environnement Lambda (c’est-à-dire sur une boîte vanille Amazon Linux), » ont déclaré les scientifiques de Cado.
» Nous pensons que cela est probablement dû aux environnements Lambda « sans serveur » utilisant Linux sous le capot, de sorte que le logiciel malveillant pensait qu’il était exécuté dans Lambda (après avoir défini manuellement les variables d’environnement nécessaires) indépendamment de son exécution dans notre bac à sable. «
Une interaction sournoise rend la détection de Denonia difficile
Le logiciel malveillant cache le trafic de commande et de contrôle dans les requêtes DNS adressées à un attaquant- domaine contrôlé et dissimule ces demandes en utilisant DNS-over-HTTPS (DoH).
DoH crypte le contenu des requêtes DNS, de sorte qu’un mécanisme d’inspection du trafic ne verra que les demandes envoyées aux résolveurs DNS HTTPS tels que cloudflare-dns. com ou dns.google.com et non le contenu réel des questions. Cela rend la détection plus difficile et permet aux attaquants de contourner les paramètres de l’environnement Lambda qui pourraient interdire le trafic DNS standard sur le port 53.
Le logiciel malveillant est généralement un wrapper pour le XMRig, un programme d’extraction de crypto-monnaie open source qui a fréquemment été adopté par les auteurs de logiciels malveillants. Ce n’est même pas la toute première fois que les clients Lambda sont ciblés avec XMRig, bien qu’au moyen de scripts plus basiques plutôt que de logiciels malveillants complexes comme Dedonia.
Les scientifiques de Cado gardent à l’esprit que si le malware qu’ils ont évalué date de février, ils en ont trouvé un plus ancien produit en janvier sur VirusTotal. Ainsi, ces attaques durent depuis quelques mois.
Les plates-formes sans serveur comme Lambda sont une excellente ressource pour les petites entreprises qui n’ont pas réellement le personnel nécessaire pour gérer et sécuriser les VM cloud, car le serveur problème de gestion est déchargé sur le fournisseur de cloud. Néanmoins, ils sont toujours responsables de la sécurisation de leurs informations d’identification et de leurs clés d’accès ou ils peuvent supporter de grosses factures de leurs comptes sont maltraités.
» Des durées d’exécution courtes, le grand volume d’exécutions et la nature dynamique et éphémère de Les fonctions lambda peuvent rendre difficile l’identification, l’examen et la réaction à un éventuel compromis », ont averti les chercheurs de Cado. » Dans le cadre du modèle de responsabilité partagée d’AWS, AWS protège l’environnement d’exécution Lambda sous-jacent, mais il appartient au client de protéger les fonctions elles-mêmes. «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
