Schadsoftware für Serverless-Plattformen
Neue Kryptomining-Malware zielt auf AWS Lambda
Foto: Ton Snoei - shutterstock.com
Forscher von Cado Labs berichten von einer neuen Kryptomining-Malware, die scheinbar speziell für AWS Lambda-Umgebungen entwickelt wurde, einer sogenannten Serverless-Computing-Plattform, die dazu dient, vom Benutzer bereitgestellten Anwendungscode bei Bedarf auszuführen.
"Obwohl dieses erste Beispiel relativ harmlos ist, da es nur Kryptomining-Software ausführt, zeigt es, wie Angreifer fortgeschrittenes Cloud-spezifisches Wissen nutzen, um komplexe Cloud-Infrastrukturen auszunutzen, und ist ein Hinweis auf mögliche zukünftige, schlimmere Angriffe", erklären die Security-Experten in ihrem Bericht.
So funktioniert die Denonia-Malware
Das in Go geschriebene Schadprogramm trägt den Namen Denonia und wird als ausführbare 64-Bit-ELF-Datei für Linux bereitgestellt. Die Cado-Forscher haben noch keine Informationen darüber, wie die Malware übertragen wird. Sie vermuten aber, dass kompromittierte AWS-Zugangsdaten und geheime Schlüssel beteiligt sein könnten.
In der Programmiersprache Go geschriebene Schadsoftware ist nicht neu. Die Methode hat sich in den vergangenen Jahren zunehmend verbreitet, da sie es Angreifern ermöglicht, ihre Malware plattformübergreifend und in sich geschlossen zu gestalten. Der Nachteil ist, dass die Binärdateien viel größer sind. Sie müssen alle Bibliotheken enthalten, die das Programm benötigt, anstatt sich dynamisch mit bereits auf einem Betriebssystem vorhandenen Bibliotheken zu verbinden.
Doch die Methode erleichtert es den Angreifern, ihren Code auf Serverless-Computing-Plattformen bereitzustellen. Denn diese Plattformen sind für die Unterstützung von Code in mehreren Programmiersprachen ausgelegt. AWS Lambda unterstützt Java, Go, PowerShell, Node.js, C#, Python und Ruby.
Im Vergleich zum traditionellen Cloud Computing, bei dem die Benutzer virtuelle Maschinen mieten und für deren Verwaltung und Betriebssysteme verantwortlich sind, ermöglichen Lambda und ähnliche Angebote die Bereitstellung von in verschiedenen Programmiersprachen geschriebenem Code. Dieser wird bei Bedarf auf der Grundlage von Ereignissen ausgeführt, ohne dass sich die Anwender um die Verwaltung der dahinter liegenden Computerinfrastruktur, wie Server und Betriebssysteme, kümmern müssen.
Denonia wurde eindeutig mit Lambda im Hinterkopf entwickelt, da es Open-Source-Go-Bibliotheken von Drittanbietern enthält, die von AWS selbst für die Interaktion mit der Plattform erstellt wurden: aws-sdk-go und aws-lambda-go. Außerdem prüft es bei der Ausführung auf bestimmte Lambda-Umgebungsvariablen, wie LAMBDA_SERVER_PORT und AWS_LAMBDA_RUNTIME_API.
"Trotz dieser Tatsache haben wir bei der dynamischen Analyse festgestellt, dass das Beispiel auch außerhalb einer Lambda-Umgebung (d.h. auf einer Amazon-Linux-Vanilla-Box) ausgeführt werden kann", so die Cado-Forscher. "Wir vermuten, dass dies wahrscheinlich darauf zurückzuführen ist, dass Lambda-'serverlose' Umgebungen Linux unter der Haube verwenden, sodass die Malware glaubte, in Lambda ausgeführt zu werden (nachdem wir die erforderlichen Umgebungsvariablen manuell gesetzt hatten), obwohl sie in unserer Sandbox ausgeführt wurde."
Getarnte Kommunikation erschwert Erkennung der Denonia-Malware
Die Malware versteckt den Befehls- und Kontrollverkehr in DNS-Anfragen, die an eine vom Angreifer kontrollierte Domain gerichtet sind, und verbirgt diese Anfragen mithilfe von DNS-over-HTTPS (DoH). DoH verschlüsselt den Inhalt von DNS-Anfragen, so dass ein Mechanismus zur Überprüfung des Datenverkehrs nur die an HTTPS-DNS-Resolver wie cloudflare-dns.com oder dns.google.com gerichteten Anfragen sieht, nicht aber den tatsächlichen Inhalt der Abfragen. Dies erschwert die Erkennung und ermöglicht es Angreifern, die Einstellungen der Lambda-Umgebung zu umgehen, die den herkömmlichen DNS-Verkehr über Port 53 verbieten könnten.
Denonia ist im Grunde genommen ein Wrapper für XMRig, ein Open-Source-Programm zum Schürfen von Kryptowährungen, das häufig von Malware-Autoren übernommen wird. Es ist nicht das erste Mal, dass Lambda-Kunden mit XMRig angegriffen werden. Bisher geschah dies jedoch über einfachere Skripte und nicht über komplexe Malware wie Denonia. Die Cado-Forscher stellen fest, dass die von ihnen analysierte Malware von Februar stammt. Dennoch haben sie auf VirusTotal eine ältere Malware gefunden, die im Januar erstellt wurde. Diese Angriffe laufen also schon seit ein paar Monaten.
Serverless-Plattformen wie Lambda sind eine großartige Ressource für kleinere Organisationen, die nicht über das erforderliche Personal für die Verwaltung und Sicherung von Cloud-VMs verfügen, da die Last der Serververwaltung auf den Cloud-Anbieter übertragen wird. Allerdings sind sie immer noch dafür verantwortlich, ihre Anmeldedaten und Zugangsschlüssel zu schützen. Unternehmen müssen hohe Rechnungen zahlen, wenn ihre Konten missbraucht werden.
"Kurze Laufzeiten, die schiere Menge an Ausführungen und die dynamische und flüchtige Natur von Lambda-Funktionen können es schwierig machen, eine potenzielle Kompromittierung zu erkennen, zu untersuchen und darauf zu reagieren", warnen die Cado-Forscher. "Im Rahmen des AWS-Shared-Responsibility-Modells sichert AWS die zugrunde liegende Lambda-Ausführungsumgebung, aber es liegt am Kunden, die Funktionen selbst zu sichern." (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.