Denonia-Malware-Erkennung: Go-basierter Wrapper kompromittiert AWS Lambda zur Bereitstellung eines Monero-Minern
Inhaltsverzeichnis:
Sicherheitsforscher berichten über alarmierende Aktivitäten im Zusammenhang mit einer maßgeschneiderten Malware namens Denonia, die auf Amazon Web Services (AWS) Lambda-Umgebungen abzielt. Die Malware ist in der Programmiersprache Go geschrieben. Einmal im System, wird sie verwendet, um die XMRig-Cryptomining-Dateien für das Mining der Kryptowährung Monero herunterzuladen, zu installieren und auszuführen.
Denonia-Malware erkennen
AWS Lambda-Malware, auch bekannt als Denonia, verwendet einen spezifischen User-Agent, um sich mit dem C2-Server zu verbinden. Um die Spuren der Anwesenheit des Denonia-Cryptominers zu erkennen, nutzen Sie den folgenden von Osman Demir:
Verdächtige AWS Lambda-Malware durch Erkennung des User-Agents (via Proxy)
Diese Sigma-basierte Erkennung hat Übersetzungen für 17 SIEM-, EDR- und XDR-Plattformen.
Die Regel ist an das neueste MITRE ATT&CK®-Framework v.10 ausgerichtet und adressiert die Taktik Kommando und Kontrolle mit dem Application Layer Protocol (T1071) als primäre Technik.
Um zu erkennen, ob Angriffe auf Ihr System über eine kompromittierte AWS Lambda-Plattform stattgefunden haben, sehen Sie sich die vollständige Liste der Regeln im Threat Detection Marketplace-Repository der Plattform von SOC Prime an. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm bei, um Ihre Sigma- und YARA-Regeln über das Threat Detection Marketplace-Repository zu teilen und eine Belohnung für Ihren wertvollen Beitrag zu erhalten.
Erkennungen anzeigen Threat Bounty beitreten
Was ist Denonia?
Denonia ist die erste ihrer Art von Malware, da es keine dokumentierten Varianten gibt, die speziell entwickelt wurden, um AWS Lambda-Cloud-Umgebungen zu kompromittieren und Cryptominer einzusetzen. Denonia enthält eine angepasste Variante des Open-Source-XMRig-Cryptominer, die verwendet wird, um die Maschine des Opfers zu kapern, auf deren Ressourcen zu parasitieren und digitale Währung, nämlich Monero (XMR), abzubauen.
Die Ursprungsversion datiert auf Januar 2022 zurück, was darauf hinweist, dass die Angriffe seit mehr als zwei Monaten andauern, mit zwei Denonia-Proben, die heute auf den Darknet-Märkten erhältlich sind.
Denonia-Analyse
Die Denonia-Untersuchung ist noch im Gange und hat noch nicht enthüllt, wie Gegner die Malware in die Zielumgebungen bringen (das Einzige, was bekannt ist, ist, dass Lambda nicht durch eine Sicherheitslücke kompromittiert wurde). Cado Labs’ Analysten spekulieren, dass Hacker möglicherweise einem Pfad folgen, bei dem AWS-Access- und Secret-Keys kompromittiert werden, um anschließend die Malware manuell bereitzustellen.
Laut den Forschern ist Denonia in der Programmiersprache Go kodiert. Gegner werden versiert im Umgang mit GoLang-basierter Malware, was zu einem stabilen Anstieg der Anzahl Go-basierter Malware-Varianten auf den Darknet-Märkten und in freier Wildbahn führt. Cyberkriminelle bevorzugen bösartigen Code in Go-Binärdateien aus verschiedenen Gründen, einschließlich ihrer Vielseitigkeit und Unauffälligkeit (Go-basierte Binärdateien sind recht umfangreich, was sie in die Lage versetzt, von einer Reihe von Antiviren-Programmen unbemerkt zu bleiben).
Es ist offensichtlich, dass Denonia entwickelt wurde, um einen serverlosen, ereignisgesteuerten Computer-Service Lambda zu zielen, da es vor der Ausführung nach Lambda-Umgebungsvariablen sucht. Nach den aktuellen Daten kann es jedoch auch genutzt werden, um Linux-Systeme, wie Amazon-Linux-Boxen, zu kompromittieren.
Registrieren Sie sich für SOC Prime’s Detection as Code-Plattform kostenlos und bringen Sie Ihre Bedrohungserkennung und Threat-Hunting-Operationen auf das nächste Level. Jagen Sie sofort nach den neuesten Bedrohungen innerhalb von über 25 unterstützten SIEM-, EDR- und XDR-Technologien, steigern Sie das Bewusstsein der neuesten Angriffe im Kontext ausgenutzter Schwachstellen und der MITRE ATT&CK-Matrix, und straffen Sie Ihre Sicherheitsoperationen.
