Alerta AWS [parte2]: Criptominer encontrado em imagens da comunidade. (AMI)
Os pesquisadores aconselham os usuários do Amazon Web Services executando Community Amazon Machine Images para verificá-los quanto a códigos potencialmente maliciosos.
Os pesquisadores de segurança pedem aos clientes da AWS que executam instâncias do Elastic Cloud Compute (EC2) com base em Amazon Machine Images (AMIs) da comunidade para verificar se há código integrado potencialmente malicioso, após a descoberta de um criptominer escondido dentro de uma AMI da comunidade.
Um AMI é um modelo com uma configuração de software – um sistema operacional, servidor de aplicativos e aplicativos – necessária para iniciar uma máquina virtual. A partir de uma AMI, os usuários iniciam uma instância ou uma cópia da AMI em execução como um servidor virtual na nuvem. Os usuários podem iniciar várias instâncias de um AMI quando precisarem de várias instâncias com a mesma configuração ou podem usar AMIs diferentes para iniciar instâncias quando configurações diferentes são necessárias.
As AMIs variam de acordo com as necessidades dos usuários e existem diferentes maneiras de obtê-las por meio da Amazon. Um é o AWS Marketplace, onde os usuários podem comprar AMIs ou pagar por uso. Essas AMIs são verificadas pela Amazon e só podem ser publicadas por usuários pré-aprovados. O Amazon EC2 se integra ao Marketplace para que os desenvolvedores possam cobrar de outros usuários do EC2 pelo uso do AMI.
O Amazon EC2 permite que os usuários criem AMIs da comunidade, tornando-os públicos para que sejam compartilhados com outras contas da AWS. Alguém que cria uma AMI de comunidade pode permitir que todas as contas da AWS iniciem a AMI ou permitir apenas algumas contas específicas. Aqueles que lançam uma AMI comunitária não pagam pela AMI em si, mas pelos recursos de computação e armazenamento usados nessa máquina.
“Se eu quiser um Windows Server, posso obter uma instância nova e limpa do Amazon EC2, instalar o Windows Server nela, fazer tudo sozinho ou posso obter um AMI que faça tudo isso para mim, e tudo que preciso fazer é pagar e colocar a máquina em funcionamento “, diz Ofer Maor, cofundador e CTO da Mitiga, empresa de resposta como serviço a incidentes, onde especialistas descobriram esse problema.
Os usuários podem escolher uma AMI da comunidade como uma solução consciente de custos; no entanto, Maor diz que o cenário mais provável é que eles encontrem exatamente o que procuram em uma AMI comunitária. É importante que eles equilibrem economia de custos e conveniência com riscos representados por binários potencialmente maliciosos. Ao contrário das AMIs do Marketplace, as AMIs da comunidade não são verificadas pela Amazon.
Esse é o ponto crucial de uma assessoria da Mitiga, que atende empresas que executam ambientes híbridos ou full cloud. Os especialistas estavam fazendo uma investigação de incidentes para uma instituição financeira quando precisaram examinar algumas máquinas do Windows 2008 Server.
“Encontramos esta máquina, fizemos alguns testes nela e, enquanto estávamos trabalhando nela, percebemos que havia algo suspeito”, explica Maor. “Era lento … quando começamos a procurar, percebemos que ele estava usando muito mais recursos de computação do que deveria.”(Imagem: Mitiga)
A investigação revelou um criptominer Monero ativo em execução em um dos servidores EC2 da organização. É um “ataque muito legal”, diz ele. Alguém deu à comunidade um recurso gratuito que faz a mineração de criptomoedas em segundo plano. O principal problema hoje na mineração de criptomoedas é a quantidade de recursos usados.
“Dessa forma, quem executou este AMI … está pagando pelo cálculo, mas a criptomoeda extraída vai para o invasor”, explica Maor. Uma empresa maior pode nunca prestar atenção a essa computação extra porque sua conta na Amazon já pode custar centenas de milhares de dólares.
Mitiga estima que este AMI exista há cinco anos e que o criptominer estava em execução desde o início. Parece que os adversários que publicaram este AMI o projetaram para cobrar dos clientes da AWS a computação enquanto extraem criptomoedas.
Embora a equipe não tenha explorado os milhares de AMIs disponíveis, eles acreditam que esse problema possa existir em outros. “Tenho feito segurança há 25 anos e a experiência mostra que sempre que algo pode ser feito, está sendo feito”, diz Maor. E esse não é um ataque difícil de realizar – um intruso só precisa entender como a nuvem funciona.
O potencial de ataque é muito mais preocupante do que a criptominação, observam os pesquisadores em um artigo sobre suas descobertas . Por exemplo, é possível que alguém instale um backdoor, permitindo que eles se conectem a uma máquina Windows e se movam pelo ambiente de destino. Alternativamente, essa pessoa pode plantar ransomware com um gatilho retardado.
“Não há verificação ou controle real do que vai para as AMIs da comunidade”, diz Maor.
Dada a facilidade de disponibilizar AMIs maliciosos para uso público, Mitiga está publicando um aviso para alertar os usuários da comunidade AMI sobre essa ameaça potencial. Ele aconselha verificar instâncias de código malicioso ou encerrá-los completamente para buscar AMIs de fontes confiáveis. Maor observa que o Marketplace é o caminho mais seguro, já que quem pode colocar AMIs no Marketplace deve ser verificado pela Amazon e passar por um programa de parceria.
Fonte: https://www.darkreading.com/cloud/cryptominer-found-embedded-in-aws-community-ami/d/d-id/1338713
