Detecção de Malware Denonia: Wrapper em Go Compromete AWS Lambda para Implantar Minerador de Monero
Índice:
Pesquisadores de segurança relatam uma atividade alarmante associada a um malware sob medida chamado Denonia para atingir ambientes AWS Lambda. O malware é escrito na linguagem Go. Uma vez no sistema, ele é usado para baixar, instalar e executar os arquivos de criptomineração XMRig para mineração de criptomoeda Monero.
Detectar Malware Denonia
O malware AWS Lambda, também conhecido como Denonia, usa um agente de usuário específico para se conectar ao servidor C2. Para detectar os rastros da presença do criptominerador Denonia, utilize o seguinte conteúdo de detecção de ameaças liberado por Osman Demir:
Malware Suspeito em AWS Lambda por Detecção de Agente de Usuário (via proxy)
Essa detecção baseada em Sigma tem traduções para 17 plataformas SIEM, EDR & XDR.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática Comando e Controle com Protocolo de Camada de Aplicação (T1071) como técnica principal.
Para detectar se houve ataques ao seu sistema por meio de uma plataforma AWS Lambda comprometida, veja a lista completa de regras disponíveis no repositório do Threat Detection Marketplace da plataforma da SOC Prime. Deseja criar suas próprias regras Sigma? Junte-se ao nosso programa Threat Bounty para compartilhar suas regras Sigma e YARA via o repositório do Threat Detection Marketplace e ser recompensado por sua valiosa contribuição.
Ver Detecções Junte-se ao Threat Bounty
O que é Denonia?
Denonia é o primeiro malware de seu tipo no sentido de que não há cepas documentadas desenvolvidas especificamente para comprometer ambientes de nuvem AWS Lambda para implantar criptomineradores. Denonia contém uma variante personalizada do criptominerador de código aberto XMRig, utilizado para sequestrar a máquina da vítima para parasitar seus recursos e minerar moedas digitais, nomeadamente, Monero (XMR).
A amostra original data de janeiro de 2022, indicando que os ataques estão em andamento há mais de dois meses, com duas amostras de Denonia disponíveis hoje em mercados da darknet.
Análise de Denonia
A investigação do Denonia ainda está em andamento, ainda não revelando como os adversários implantam o malware nos ambientes alvo (a única coisa conhecida é que o Lambda não foi violado através de uma vulnerabilidade). Cado Labs os analistas especulam que hackers podem estar seguindo um caminho de comprometimento das Chaves de Acesso e Secretas da AWS para implantação manual subsequente de malware.
De acordo com os pesquisadores, Denonia é codificado na linguagem Go. Os adversários estão se tornando experientes em malware baseado em GoLang, aumentando de forma estável o número de cepas de malware baseadas em Go disponíveis em mercados da darknet e vistas em ambientes reais. Os cibercriminosos favorecem os códigos maliciosos em binários Go por uma variedade de razões, incluindo sua versatilidade e furtividade (binários baseados em Go são bastante volumosos, o que os torna capazes de passar por vários programas antivírus sem serem detectados).
É evidente que o Denonia foi criado para alvejar um serviço de computação sem servidor, acionado por eventos, Lambda, pois verifica variáveis de ambiente Lambda antes de executar. No entanto, de acordo com os dados atuais, ele também pode ser aproveitado para comprometer sistemas Linux, como servidores Amazon Linux.
Registre-se no plataforma Detection as Code da SOC Prime gratuitamente e eleve suas operações de descoberta e caça de ameaças a um nível totalmente novo. Cace instantaneamente as ameaças mais recentes dentro de mais de 25 tecnologias SIEM, EDR e XDR suportadas, aumente a conscientização sobre os ataques mais recentes no contexto de vulnerabilidades exploradas e da matriz MITRE ATT&CK, e agilize suas operações de segurança.
