Zum ersten Mal wurde eine Malware in freier Wildbahn entdeckt, die auf die Serverless-Computing-Plattform Lambda von Amazon Web Services (AWS) abzielt.
Die Malware, die nach dem Namen der Domain, mit der sie kommuniziert, „Denonia“ genannt wird, nutzt neuere Adressauflösungstechniken für den Befehls- und Kontrollverkehr, um typische Erkennungsmaßnahmen und virtuelle Netzwerkzugangskontrollen zu umgehen“, so Matt Muir, Forscher bei Cado Labs.
Das von dem Cybersecurity-Unternehmen analysierte Artefakt wurde am 25. Februar 2022 in die VirusTotal-Datenbank hochgeladen, trägt den Namen „python“ und ist als 64-Bit-ELF-Datei verpackt.
Der Dateiname ist jedoch irreführend, denn Denonia ist in Go programmiert und enthält eine angepasste Variante der XMRig-Software zum Schürfen von Kryptowährungen. Die Art und Weise des Erstzugriffs ist unbekannt, aber es wird vermutet, dass AWS Access und Secret Keys kompromittiert wurden.
Ein weiteres bemerkenswertes Merkmal der Malware ist die Verwendung von DNS über HTTPS (DoH) für die Kommunikation mit dem Command-and-Control-Server („gw.denonia[.]xyz“), indem der Datenverkehr in verschlüsselten DNS-Anfragen versteckt wird.
In einer Erklärung, die The Hacker News zur Verfügung gestellt wurde, betonte Amazon, dass „Lambda standardmäßig sicher ist und AWS weiterhin wie vorgesehen funktioniert“ und dass Nutzer, die gegen die Nutzungsbedingungen verstoßen, von der Nutzung der Dienste ausgeschlossen werden.
Obwohl Denonia eindeutig für AWS Lambda entwickelt wurde, da es vor der Ausführung nach Lambda-Umgebungsvariablen sucht, hat Cado Labs herausgefunden, dass es auch außerhalb von AWS Lambda in einer normalen Linux-Serverumgebung ausgeführt werden kann.
„Die von dem Forscher beschriebene Software nutzt keine Schwachstelle in Lambda oder einem anderen AWS-Dienst aus“, so das Unternehmen. „Da die Software vollständig auf betrügerisch erlangten Zugangsdaten beruht, ist es eine Verzerrung der Tatsachen, sie überhaupt als Malware zu bezeichnen, da sie nicht in der Lage ist, sich selbst unbefugt Zugang zu einem System zu verschaffen.
Python“ ist jedoch nicht das einzige Beispiel für Denonia, das bisher aufgetaucht ist. Cado Labs fand ein zweites Beispiel (mit dem Namen „bc50541af8fe6239f0faa7c57a44d119.virus“), das am 3. Januar 2022 auf VirusTotal hochgeladen wurde.
„Obwohl dieses erste Beispiel relativ harmlos ist, da es nur Krypto-Mining-Software ausführt, zeigt es, wie Angreifer fortgeschrittenes Cloud-spezifisches Wissen nutzen, um komplexe Cloud-Infrastrukturen auszunutzen, und ist ein Hinweis auf mögliche zukünftige, ruchlosere Angriffe“, so Muir.