Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Обнаружен криптомайнер Denonia для бессерверной среды AWS Lambda

11/04/22

AWS Lambda

Специалисты из компании Cado Security обнаружили вредоносное ПО, специально предназначенного для работы в бессерверных средах AWS Lambda и майнинга криптовалюты. Как признались в Cado Security, команда исследователей не совсем понимает, как развертывается вредоносное программное обеспечение, получившее название Denonia.

«Это может быть просто вопрос компрометации доступа и секретных ключей AWS с последующим ручным развертыванием в скомпрометированных средах Lambda», — предположили эксперты.

Хотя ИБ-специалисты зафиксировали работу вредоноса только на AWS Lambda, его можно заставить работать и в Linux-среде.

Код вредоноса написан на языке программирования Google Go, который популярен среди разработчиков вредоносных программ в связи с легкостью использования для создания кроссплатформенных автономных статически связанных исполняемых файлов. Программный код может быть монолитным BLOB-объектом, затрудняя обратную разработку, а строки могут не хранятся с нулевыми терминаторами в стиле C.

Denonia содержит настроенный вариант XMRig для майнинга криптовалюты Monero «наряду с другими неизвестными функциями». Во время динамического анализа Denonia остановила выполнение и зафиксировало ошибку о том, что переменная среды Lambda AWS не определена. Исследователи нашли 64-битный исполняемый файл ELF, ориентированный на архитектуру x86-64. Файл использует ряд сторонних библиотек, в том числе одну конкретную для обеспечения выполнения в средах AWS Lambda.

Вредоносное ПО включает несколько сторонних библиотек Go, в том числе инструменты для написания функций Lambda, помощники для получения контекстной информации из запроса на вызов Lambda, общие комплекты разработки программного обеспечения AWS для Go и DNS-over-HTTPS (DoH) в Go. DoH шифрует DNS-запросы и отправляет запросы доменного имени в виде обычного HTTPS-трафика. Данный подход не позволяет AWS просматривать DNS-запросы, снижая шансы вредоносного ПО быть обнаруженным.

Темы:майнингAmazonУгрозыMoneroCado Security
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...