2022年4月8日 / 最終更新日 : 2022年4月8日 Kazuo_Komoriya ほぼこもセキュリティニュース

舞台はLambda

ほぼこもセキュリティニュース By Terilogy Worx

Lambda、使っていますか?
LambdaはAWSで使えるサービスの1つで、サーバレスのプログラム実行環境です。
サーバもアプリケーションサーバも用意することなく、Lambda上で動かすプログラムを用意するだけでそれを動かすことができます。
運用面や金銭面などいろいろな面で利用者の責任範囲を小さく保つことができて負担を小さくできます。

そんなLambda環境で動作することを前提としたマルウェアが確認されています。
つけられた名前はDenoniaです。
内容はこんな感じです。

  • Lambdaでの動作を想定している
    Lambda環境で使用される環境変数の参照によって、動作環境の判定を実施しています。
    その環境変数の参照に失敗するとマルウェアは動作を終了します。
  • Go言語で作成されている
    DenoniaはGoで作成されています。
    ちなみにマルウェアのファイル名称はpythonです。
  • DNS over HTTPSを使用する
    DenoniaはC2の名前解決にDNSではなくDNS over HTTPSを使用します。
    名前の通りDNS over HTTPSは経路上では暗号化された状態で通信されますので、経路上の通信機器でその内容の分析によって悪意の有無を判定することは困難です。
  • やりたいのはマイニング
    Denoniaが侵害した場所に持ってきて動作させるものはXMRigです。
    XMRigはMoneroのマイニングソフトウェアです。

侵入経路はまだ明らかにされていません。

Lambdaもマルウェアの活動場所になってきているという点に驚きました。
動作環境がほにゃららだから安全だ、というような考え方はできないということなのかもしれません。

参考記事(外部リンク):Cado Discovers Denonia: The First Malware Specifically
Targeting Lambda
www.cadosecurity.com/cado-discovers-denonia-the-first-malware-specifically-targeting-lambda/

カテゴリー
ほぼこもセキュリティニュース
イベント

前の記事

4月26日開催ウェビナー/受付終了【緊急報告】サムスンのLapsus$ランサムウェア被害で露呈したソースコード漏洩リスクとその実態調査
2022年4月7日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

METAはじめました
2022年4月11日