前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >首个针对AWS Lambda无服务器平台的恶意软件出现了

首个针对AWS Lambda无服务器平台的恶意软件出现了

作者头像
FB客服
发布于 2022-04-12 01:27:49
发布于 2022-04-12 01:27:49
9010
举报
文章被收录于专栏:FreeBufFreeBuf

据The Hacker News消息,第一个专门设计针对亚马逊网络服务AWS Lambda无服务器计算平台的恶意软件已经在野外被发现

资料显示,亚马逊云科技于 2014 年推出Serverless 计算服务 Amazon Lambda,开创了业界先河,并持续根据客户需求更新迭代。通过 Amazon Lambda,客户无需预置或管理服务器即可运行代码,覆盖几乎任何类型的应用程序或后端服务,且只需按照调用次数和使用的计算时间付费(按毫秒计算)。

Cado Labs安全研究员Matt Mui表示,该恶意软件使用更新的命令和控制流量地址解析技术,以规避典型的检测措施和虚拟网络访问控制。有意思的是,每次入侵之后该恶意软件会将在域名之后加上一个“Denonia”的绰号。

2022年2月25日,某网络安全公司将分析的文件上传至VirusTotal 数据库,命名为“python”,并打包成一个64位ELF可执行文件。但是,这个文件名有点“名不副实”,因为Denonia 是用Go编程的,包含了XMRig加密货币挖矿软件的定制变体。也就是说,初始访问的模式是未知的,尽管有专家怀疑它可能涉及AWS Access 和Secret Keys的泄露。

该恶意软件的另一个显著特点是,它使用DNS over HTTPS (DoH)来与其命令和控制服务器 (“gw.denonia[.]xyz”) 进行通信,并通过在加密的DNS查询中隐藏流量。

对于这一消息,亚马逊特别强调,“Lambda默认是安全的,AWS将继续按设计运行”,而那些违反其可接受使用政策 (AUP) 的用户将被禁止使用其服务

虽然 Denonia是以AWS Lambda为目标进行针对性设计,因为在执行之前它会检查 Lambda的环境变量,但 Cado Labs 还发现它也可以在标准Linux服务器环境中运行。

Cado Labs公司表示,“研究人员描述的软件没有利用Lambda或任何其他AWS服务的任何弱点,由于该软件完全依赖于以欺诈方式获得的帐户凭据,因此将其称为恶意软件是对事实的歪曲,因为它本身缺乏未经授权访问任何系统的能力。”

值得注意的是,“python”并不是目前发现的唯一Denonia 样本,Cado Labs此前还发现了另外一个样本,该样本已在2022年1月3日上传到VirusTotal数据库。

Matt Mui表示“虽然第一个样本没有多少进攻性,因为它只运行加密挖矿软件,但它展示了攻击者如何使用先进的云特定知识来利用复杂的云基础设施,并预示着未来潜在的、更加可怕的攻击。”

参考来源

https://thehackernews.com/2022/04/first-malware-targeting-aws-lambda.html

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-04-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
每周云安全资讯-2022年第29周
1 KubeCon会议:攻击者如何使用暴露的 Prometheus 服务器来利用 Kubernetes 集群 2022年KubeCon会议的议题之一,介绍攻击者如何使用暴露的 Prometheus 服务器来利用 Kubernetes 集群,本文在演示环境中执行了所有测试 https://zone.huoxian.cn/d/1333-kubecon-prometheus-kubernetes 2 When it’s not only about a Kubernetes CVE 本文介绍了CVE-2020-8
云鼎实验室
2022/07/19
4960
每周云安全资讯-2022年第29周
Rudeminer&Blacksquid&Lucifer恶意软件分析
Lucifer是一款Windows加密货币及DDoS恶意软件,就在三个月前,研究人员发布了一份报告并详细介绍了该恶意软件的活动。近期,我们发现该活动背后的攻击者原来早在2018年就开始了他们的网络攻击活动。
FB客服
2020/11/06
7640
Rudeminer&Blacksquid&Lucifer恶意软件分析
挖矿病毒“盯上”了Docker服务器
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。
FB客服
2022/06/08
1.6K0
挖矿病毒“盯上”了Docker服务器
基于Flutter的安卓恶意软件,瞄准东亚市场
Fortinet FortiGuard实验室研究员Axelle Apvrille在上周发表的一份报告中说,这种恶意软件的出现代表了一种重大转变,因为它直接将恶意组件纳入Flutter代码中。
FB客服
2023/08/08
2030
基于Flutter的安卓恶意软件,瞄准东亚市场
亚洲云服务提供商成为加密挖矿恶意软件的攻击目标
据行业媒体的报道,CoinStomp网络攻击团伙实施的复杂技术可以利用云计算服务提供商的计算能力来挖掘加密货币。
静一
2022/04/02
5290
新型恶意软件SysJoker正对Windows、Linux 和macOS 操作系统构成威胁
据The Hacker News网站报道,一个名为“ SysJoker ”的新型恶意软件正对Windows、Linux 和 macOS 操作系统构成威胁,可利用跨平台后门来从事间谍活动。
FB客服
2022/02/23
4610
新型恶意软件SysJoker正对Windows、Linux 和macOS 操作系统构成威胁
Docker Hub 成了危险的陷阱。。。
Sysdig的安全研究者近日发现Docker Hub中暗藏着超过1600个恶意镜像,可实施的攻击包括加密货币挖矿、嵌入后门/机密信息、DNS劫持和网站重定向等。
民工哥
2023/01/30
1.1K0
Docker Hub 成了危险的陷阱。。。
Chaes恶意软件的新Python变种以银行和物流业为目标
Morphisec 在与《黑客新闻》分享的一份新的详细技术报告中说:“Chaes”经历了重大的改版,从完全用 Python 重写,到整体重新设计和增强通信协议,导致传统防御系统的检测率降低。
FB客服
2023/09/08
3230
Chaes恶意软件的新Python变种以银行和物流业为目标
全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制
近期,专家表示受僵尸网络控制的MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的一项新研究,Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2)服务器进行分发。Avast的高级恶意软件研究员Martin Hron说,“近230,000个易受攻击的MikroTik路由器受到僵尸网络的控制。”
FB客服
2022/04/12
7040
全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制
Saferwall:下一代开源恶意软件分析平台
Saferwall是一款开源的恶意软件分析平台,该工具旨在给安全社区提供以下内容:
FB客服
2020/09/04
1.3K0
Saferwall:下一代开源恶意软件分析平台
黑客利用天文望远镜拍摄的图像传播恶意软件
据Bleeping Computer网站8月30日消息,威胁分析师发现了一个名为“GO#WEBBFUSCATOR”的新恶意软件活动,该活动依赖网络钓鱼电子邮件、恶意文档和来自詹姆斯韦伯望远镜的空间图像来传播恶意软件。 该恶意软件由 Golang 编写,Golang 因其跨平台的特性(Windows、Linux、Mac)以及对逆向工程和分析的强抵抗力而越发得到网络犯罪分子的青睐。在 Securonix 的研究人员最近发现的活动中,攻击者会在 VirusTotal 扫描平台上投放当前未被防病毒引擎标记为病毒的
FB客服
2023/03/30
7060
黑客利用天文望远镜拍摄的图像传播恶意软件
影响Windows 和 macOS平台,黑客利用 Adobe CF 漏洞部署恶意软件
FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。
FB客服
2023/09/08
2620
影响Windows 和 macOS平台,黑客利用 Adobe CF 漏洞部署恶意软件
恶意软件FontOnLake Rootkit正在威胁Linux系统
近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。
FB客服
2021/10/21
1.2K0
攻击者开发BugDrop恶意软件,可绕过安卓安全防护
据The Hacker News报道,攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马,该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出,这种恶意软件试图使用一种从未见过的新技术来感染设备,以传播极其危险的Xenomorph银行木马,允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop,是一种dropper应用程序,其设计目的十
FB客服
2023/03/30
4490
攻击者开发BugDrop恶意软件,可绕过安卓安全防护
新XBash恶意软件融合勒索病毒、挖矿、僵尸网络和蠕虫功能
近期,Palo Alto Network的研究人员发现了一款名叫XBash的新型恶意软件,而这款恶意软件不仅是一个勒索软件,而且它还融合了挖矿、僵尸网络和蠕虫等功能。
FB客服
2018/10/25
6070
新XBash恶意软件融合勒索病毒、挖矿、僵尸网络和蠕虫功能
伊朗黑客组织 COBALT MIRAGE 的恶意软件 Drokbk 滥用 GitHub
伊朗攻击组织 COBALT MIRAGE 的 B 小组使用 .NET 编写的恶意软件 Drokbk,由 Dropper 与 Payload 组成。该恶意软件内置的功能有限,主要就是执行 C&C 服务器的命令。2022 年 2 月,美国政府在针对地方政府网络的入侵攻击中发现了该恶意软件,后续在 VirusTotal 上发现了该样本。
FB客服
2023/02/10
3420
伊朗黑客组织 COBALT MIRAGE 的恶意软件 Drokbk 滥用 GitHub
EnemyBot恶意软件增加了针对VMware等关键漏洞的攻击
EnemyBot是一个基于多个恶意软件代码的僵尸网络,它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现,在4份对Fortinet的新样本进行分析时,发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击,同时还具有扫描新目标设备并感染它们的模块。
FB客服
2022/06/08
4600
EnemyBot恶意软件增加了针对VMware等关键漏洞的攻击
黑客用GitHub服务器挖矿,三天跑了3万个任务,代码惊现中文
给PC植入挖矿木马,已经无法满足黑客日益增长的算力需求,如果能用上GitHub的服务器,还不花钱,那当然是极好的。
量子位
2021/04/23
1.1K0
黑客用GitHub服务器挖矿,三天跑了3万个任务,代码惊现中文
探测电磁波就能揪出恶意软件,网友:搁这给电脑把脉呢?
博雯 萧箫 发自 凹非寺 量子位 | 公众号 QbitAI 不安装任何杀毒软件,“悬丝诊脉”也能揪出计算机病毒? 而且准确率达99.82%,杀毒软件看了都汗颜。 先请出我们的“患者”,一个经过特殊处理后化身微型计算机的树莓派: 病毒入侵、服务中断、后台进程活动等无数个正常和非正常的行为正在这台微型计算机中发生。 然后让AI与这个蓝白相间的示波器相连,伸出一根探针“悬丝”搭在CPU上: 很快啊,AI就发现了这台计算机上的恶意软件! 明明是在树莓派体内的病毒,怎么探针隔空一放(没直接接触)就被发现了? 答案
量子位
2022/03/04
5390
StripedFly:揭开恶意软件常年隐身的秘密
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)进行更新和交付功能,所有这一切都使用自定义加密归档。可以说,创建这个框架所付诸的努力确实十分了不起,同样地,它所披露的真相也相当惊人。
FB客服
2023/11/23
3460
StripedFly:揭开恶意软件常年隐身的秘密
推荐阅读
相关推荐
每周云安全资讯-2022年第29周
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档