Lambda、使っていますか?
LambdaはAWSで使えるサービスの1つで、サーバレスのプログラム実行環境です。
サーバもアプリケーションサーバも用意することなく、Lambda上で動かすプログラムを用意するだけでそれを動かすことができます。
運用面や金銭面などいろいろな面で利用者の責任範囲を小さく保つことができて負担を小さくできます。
そんなLambda環境で動作することを前提としたマルウェアが確認されています。
つけられた名前はDenoniaです。
内容はこんな感じです。
- Lambdaでの動作を想定している
Lambda環境で使用される環境変数の参照によって、動作環境の判定を実施しています。
その環境変数の参照に失敗するとマルウェアは動作を終了します。 - Go言語で作成されている
DenoniaはGoで作成されています。
ちなみにマルウェアのファイル名称はpythonです。 - DNS over HTTPSを使用する
DenoniaはC2の名前解決にDNSではなくDNS over HTTPSを使用します。
名前の通りDNS over HTTPSは経路上では暗号化された状態で通信されますので、経路上の通信機器でその内容の分析によって悪意の有無を判定することは困難です。 - やりたいのはマイニング
Denoniaが侵害した場所に持ってきて動作させるものはXMRigです。
XMRigはMoneroのマイニングソフトウェアです。
侵入経路はまだ明らかにされていません。
Lambdaもマルウェアの活動場所になってきているという点に驚きました。
動作環境がほにゃららだから安全だ、というような考え方はできないということなのかもしれません。
参考記事(外部リンク):Cado Discovers Denonia: The First Malware Specifically
Targeting Lambda
www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/
| この記事をシェア |
|
|---|
