【安全圈】研究人員對惡意AWS社區(qū)發(fā)出警報

研究人員說，惡意社區(qū)亞馬遜機(jī)器圖像是黑客攻擊的一個成熟目標(biāo)。

研究人員敲響了警鐘，他們說這是一個與亞馬遜網(wǎng)絡(luò)服務(wù)及其預(yù)先配置的虛擬服務(wù)器市場有關(guān)的日益增長的威脅載體。Mitiga的研究人員稱，危險在于，威脅行為者可以很容易地構(gòu)建帶有惡意軟件的社區(qū)亞馬遜機(jī)器圖像(AMI)，并將其提供給毫無戒心的AWS客戶。

這種威脅不是理論上的。星期五，Mitiga發(fā)布惡意AMI的詳細(xì)信息在運(yùn)行受感染的WindowsServer 2008實(shí)例的野生環(huán)境中發(fā)現(xiàn)。研究人員說，本月早些時候，該AMI已從客戶的Amazon Elastic Compute Cloud實(shí)例中刪除，但仍可在Amazon的CommunityAMI市場上使用。

在過去的五年里，這個被質(zhì)疑的AMI藏在一家金融機(jī)構(gòu)EC2上為未知黑客制造莫內(nèi)羅硬幣的隱秘礦商。Mitiga說，它在周二通知了亞馬遜，并指出亞馬遜的回復(fù)承諾在5個工作日內(nèi)做出答復(fù)。

“這種漏洞帶來了巨大的風(fēng)險，因?yàn)榍度胧酱a可能包括惡意軟件、Ransomware或其他類型的攻擊工具，”駐以色列Mitiga的首席技術(shù)官兼聯(lián)合創(chuàng)始人ofer maor說。

AmazonMachineImage有兩種風(fēng)格，并可通過AWS市場獲得。亞馬遜(Amazon)提供自己的非盟駐蘇特派團(tuán)(Amis)和那些來自預(yù)先合格合作伙伴AWS市場還包括數(shù)以萬計(jì)的社區(qū)非盟駐蘇特派團(tuán)。這些非盟駐蘇特派團(tuán)的警務(wù)不那么嚴(yán)格，而且往往是免費(fèi)或低成本提供的。顧名思義，它們是由社區(qū)成員創(chuàng)建的。

“這里的問題不是客戶做錯了什么，”毛爾說。“問題在于非盟駐蘇特派團(tuán)，沒有制衡機(jī)制。任何人都可以創(chuàng)建一個，并將其放在CommunityAMI庫中。其中包括具有惡意可執(zhí)行文件的文件?！?/span>

Amis為開發(fā)人員提供了一種簡單的方法，可以快速推出基于云的計(jì)算解決方案，從遺留服務(wù)器、專門的物聯(lián)網(wǎng)計(jì)算系統(tǒng)到提供主流云業(yè)務(wù)應(yīng)用程序的虛擬服務(wù)器。對于希望在構(gòu)建EC2實(shí)例時節(jié)省時間和金錢的開發(fā)人員來說，這些預(yù)先準(zhǔn)備好的AMI實(shí)例可能是天賜之物。

就亞馬遜而言，它確實(shí)清楚地說明了與非盟駐蘇特派團(tuán)有關(guān)的風(fēng)險在其平臺上：

“您使用共享的AMI將承擔(dān)您自己的風(fēng)險。Amazon不能保證其他AmazonEC 2用戶共享的Amis的完整性或安全性。因此，您應(yīng)該像在您自己的數(shù)據(jù)中心中部署的任何外部代碼一樣對待共享的AMI，并執(zhí)行適當(dāng)?shù)谋M職調(diào)查。我們建議您從受信任的源獲取AMI?！?/span>

Mitiga的研究人員認(rèn)為，亞馬遜在建立保障措施方面做得還不夠。它認(rèn)為，與GitHub這樣的代碼存儲庫類似，Amazon需要創(chuàng)建與CommunityAmis相關(guān)聯(lián)的某種類型的用戶評級或反饋循環(huán)。這樣，用戶就可以幫助自我管理生態(tài)系統(tǒng)。

“我不認(rèn)為人們對AMI的安全性有足夠的認(rèn)識，”Maor說。他說，亞馬遜的消費(fèi)者市場提供了賣家、產(chǎn)品評級和評論的詳細(xì)描述，與之不同的是，這些細(xì)節(jié)“完全模糊不清”。

“有數(shù)以萬計(jì)的非盟駐蘇特派團(tuán)。你不知道出版商是誰，沒有收視率。沒有評論。有一種假設(shè)認(rèn)為，如果它是AWS的一部分，那么它就是猶太的。我們現(xiàn)在發(fā)現(xiàn)的是，這還遠(yuǎn)遠(yuǎn)不是案例。我們相信這些風(fēng)險是巨大的。

他補(bǔ)充說，與流行存儲庫中發(fā)現(xiàn)的惡意代碼不同，惡意Amis在規(guī)模上更難識別。要識別隱藏在虛擬機(jī)二進(jìn)制文件中的惡意代碼，如密碼挖掘器，相對于在代碼庫中的開放源代碼中識別壞代碼或流氓代碼而言，這是非常困難的。

惡意非盟駐蘇特派團(tuán)并不是一種全新的現(xiàn)象。2018年峰會之路經(jīng)調(diào)查的申訴據(jù)稱還含有Monero礦商惡意軟件的社區(qū)AMI。這個例子是標(biāo)記在GitHub上被一個用戶。

該報告稱：“此惡意軟件將試圖利用與Hadoop、Redis和ActiveMQ相關(guān)的漏洞，因此，該AMI的創(chuàng)建者在創(chuàng)建AMI之前曾是受害者并被系統(tǒng)感染。”

Mitiga的研究人員認(rèn)為，攻擊媒介包括了一些壞演員，他們采取了噴霧和祈禱的方法來創(chuàng)建惡意的非盟駐蘇特派團(tuán)。“在這種情況下，它是過時的WindowsServer2008AMI。使用這種遺留AMI的各方可能會擁有遺留軟件，這將暗示可能存在的金融機(jī)構(gòu)。攻擊者很容易在非常敏感和易受攻擊的環(huán)境中發(fā)現(xiàn)自己?！?/span>

Mitiga建議，“出于謹(jǐn)慎起見，使用CommunityAmis的公司建議為他們的EC2實(shí)例驗(yàn)證、終止或從可信的來源尋找非盟特派團(tuán)?！?/span>