Los atacantes crean 'malware' para plataformas de computación sin servidor como AWS Lambda
El nuevo malware de minería de criptomonedas está escrito en Go para facilitar el despliegue y utiliza las propias bibliotecas Go de código abierto de AWS.
Los autores de malware se mantienen al día cuando se trata de malware orientado a servidores. En concreto, los atacantes adoptan las mismas tecnologías que utilizan sus organizaciones objetivo. Los investigadores de seguridad han encontrado recientemente un minero de criptomonedas que fue diseñado para ejecutarse dentro de AWS Lambda, una plataforma de computación sin servidor diseñada para ejecutar el código de la aplicación suministrada por el usuario bajo demanda.
"Aunque esta primera muestra es bastante inocua, en el sentido de que solo ejecuta software de minería de criptomonedas, demuestra cómo los atacantes están utilizando conocimientos avanzados específicos de la nube para explotar su compleja infraestructura, y es indicativo de posibles ataques futuros más nefastos", según dijeron en su informe los investigadores de Cado Security, que encontraron el programa malicioso.
El malware Denonia
El programa malicioso, que está escrito en Go, ha sido apodado "Denonia" y se entrega como un ejecutable ELF de 64 bits para Linux. Los investigadores de Cado aún no tienen información sobre cómo se entrega el malware, pero sospechan que podrían estar implicadas las credenciales de acceso a AWS y las claves secretas comprometidas.
El malware escrito en el lenguaje de programación Go no es nuevo y ha sido cada vez más frecuente en los últimos años porque proporciona a los atacantes un método fácil de hacer su malware multiplataforma y autocontenido. El inconveniente es que los archivos binarios son mucho más grandes, ya que tienen que contener todas las bibliotecas que el programa necesita, en lugar de enlazarse dinámicamente con las bibliotecas ya existentes en un sistema operativo.
También facilita el despliegue de su código en plataformas de computación sin servidor, que están diseñadas para soportar código en múltiples lenguajes de programación. AWS Lambda admite de forma nativa Java, Go, PowerShell, Node.js, C#, Python y Ruby.
En comparación con la computación en la nube tradicional, en la que los usuarios alquilan máquinas virtuales y se encargan de gestionarlas y sus sistemas operativos, Lambda y otras ofertas similares permiten a los usuarios desplegar código escrito en diferentes lenguajes de programación que se ejecuta bajo demanda en función de eventos sin preocuparse de gestionar la infraestructura informática que hay detrás, como los servidores y los sistemas operativos.
Denonia fue claramente creado con Lambda en mente, porque incluye bibliotecas Go de código abierto de terceros creadas por la propia AWS para interactuar con la plataforma: aws-sdk-go y aws-lambda-go. Además, comprueba variables de entorno específicas de Lambda cuando se ejecuta, como LAMBDA_SERVER_PORT y AWS_LAMBDA_RUNTIME_API.
"A pesar de la presencia de esto, descubrimos durante el análisis dinámico que la muestra continuará felizmente la ejecución fuera de un entorno Lambda (es decir, en una caja de Amazon Linux vainilla)", dijeron los investigadores de Cado. "Sospechamos que esto se debe probablemente a que los entornos Lambda 'sin servidor' utilizan Linux bajo el capó, por lo que el malware creía que se estaba ejecutando en Lambda (después de que estableciéramos manualmente las variables de entorno necesarias) a pesar de que se ejecutaba en nuestro sandbox."
La comunicación sigilosa dificulta la detección de Denonia
El malware oculta el tráfico de comando y control en las solicitudes de DNS realizadas a un dominio controlado por el atacante y oculta esas solicitudes utilizando DNS-over-HTTPS (DoH). DoH encripta el contenido de las peticiones DNS, por lo que un mecanismo de inspección de tráfico sólo verá las peticiones que van a los resolvedores DNS HTTPS como cloudflare-dns.com o dns.google.com y no el contenido real de las consultas. Esto dificulta la detección y permite a los atacantes eludir la configuración del entorno Lambda, que podría no permitir el tráfico DNS tradicional a través del puerto 53.
El malware es básicamente una envoltura del XMRig, un programa de minería de criptomonedas de código abierto que ha sido adoptado a menudo por los autores de malware. Ni siquiera es la primera vez que los clientes de Lambda son atacados con XMRig, aunque a través de scripts más simples en lugar de un malware complejo como Dedonia. Los investigadores de Cado señalan que, aunque el malware que analizaron data de febrero, encontraron uno más antiguo creado en enero en VirusTotal. Por lo tanto, estos ataques han estado funcionando durante unos meses.
Las plataformas sin servidor como Lambda son un gran recurso para las organizaciones más pequeñas que no tienen el personal necesario para gestionar y asegurar las VM de la nube, porque la carga de la gestión del servidor se descarga al proveedor de la nube. Sin embargo, siguen siendo responsables de proteger sus credenciales y claves de acceso o pueden incurrir en grandes facturas si se abusa de sus cuentas.
"Las cortas duraciones de ejecución, el gran volumen de ejecuciones y la naturaleza dinámica y efímera de las funciones Lambda pueden dificultar la detección, investigación y respuesta a un potencial compromiso", advierten los investigadores de Cado. "Bajo el modelo de Responsabilidad Compartida de AWS, AWS asegura el entorno de ejecución subyacente de Lambda, pero es el cliente quien debe asegurar las funciones por sí mismo".
