AWS曰く、マルウェアがLambda上以外でも動作するならLambdaを狙ったマルウェアではない 15
ストーリー by headless
一休 部門より
一休 部門より
Cado Security が AWS Lambda をターゲットにした初のマルウェア「Denonia」の発見を公表して話題になったが、当初 AWS では Denonia がマルウェアの定義に合致しないと主張する声明を出していたそうだ
(VentureBeat の記事)。
Denonia は Go 言語で書かれており、暗号通貨採掘ソフトウェア XMRig のカスタマイズ版を含んでいるという。名称はマルウェアが通信するサーバーのドメイン名から取られたものだ。AWS や Lambda の脆弱性を突いたものではなく、別途取得したアカウント情報などを用いて手動でデプロイされたとみられる。
当初 AWS が出した声明では脆弱性を悪用した不正アクセスを行わない Denonia はマルウェアですらなく、「Lambda 初のマルウェア」という報道は事実を歪めたものだと主張。Lambda 上ではない標準的な Linux サーバー上でも動作することから Lambda をターゲットにしたとの説明は顧客をミスリードするものだなどとも主張していたという。
しかし、脆弱性を悪用する仕組みを備えないマルウェアも数多くあり、XMRig は正規の暗号通貨採掘にも利用できるものの多くのセキュリティソフトウェアがマルウェアとみなしている。そのため、AWS が主張しているのは Lambda の機能や脆弱性を悪用して拡散するワームではないということのようだ。
この見解を VentureBeat が AWS に伝えたところ、Denonia が全くマルウェアではないという主張は取り下げる一方、「Lambdaを狙ったマルウェア」ではないという点は譲らず、Lambda 上で動作するよう構成されただけだなどと主張したとのことだ。
Denonia は Go 言語で書かれており、暗号通貨採掘ソフトウェア XMRig のカスタマイズ版を含んでいるという。名称はマルウェアが通信するサーバーのドメイン名から取られたものだ。AWS や Lambda の脆弱性を突いたものではなく、別途取得したアカウント情報などを用いて手動でデプロイされたとみられる。
当初 AWS が出した声明では脆弱性を悪用した不正アクセスを行わない Denonia はマルウェアですらなく、「Lambda 初のマルウェア」という報道は事実を歪めたものだと主張。Lambda 上ではない標準的な Linux サーバー上でも動作することから Lambda をターゲットにしたとの説明は顧客をミスリードするものだなどとも主張していたという。
しかし、脆弱性を悪用する仕組みを備えないマルウェアも数多くあり、XMRig は正規の暗号通貨採掘にも利用できるものの多くのセキュリティソフトウェアがマルウェアとみなしている。そのため、AWS が主張しているのは Lambda の機能や脆弱性を悪用して拡散するワームではないということのようだ。
この見解を VentureBeat が AWS に伝えたところ、Denonia が全くマルウェアではないという主張は取り下げる一方、「Lambdaを狙ったマルウェア」ではないという点は譲らず、Lambda 上で動作するよう構成されただけだなどと主張したとのことだ。
言い分 (スコア:5, すばらしい洞察)
Lambdaを狙ったものと聞くと専用のマルウェアで他では動作しないという感覚
他でも動くなら「Lambda 上で動作するよう構成されただけ」と言うのは理解できる
Re: (スコア:0)
Lambda 環境の穴を突いて勝手にデプロイされるとか、デプロイしたら意図しない動作をするならともかく……。
Docker にコンテナとしてデプロイできる何かのことを、「Docker を狙ったマルウェア」と呼ぶ奇習があるなら
わからなくもないですが。
Re: (スコア:0)
それも理解できないな。
今回のはスラドで荒し行為(スクリプトで自動書き込み)をしたら「スラドをターゲットとしたマルウェア発見」って言われたようなもの。
スラドは荒らす場として選ばれただけだし、書き込みは自動だろうがマルウェアじゃない。まるで意味が分からない。
そんなものだよ。
#セキュリティソフトがマイニングツールやhostsファイルのようなマルウェアでもなんでもないと分かってるものを検出して削除するの許せない
Re: (スコア:0)
nc.exeのことかー
Re: (スコア:0)
掲示板とLinux同士では仕様の共通性が違うからな
共通範囲を挙げるべきだとは思うよ
言うほうは勝手かもしれんが言われる方はたまったもんじゃないわ
Re: (スコア:0)
これって、予めlambda上にコードを登録しておけば動くマルウェアということ?
動かすとlambda基盤上で意図せずマイニングとかしたり、lambda関数に与えたIAM権限内で悪さするだけ?
lambda基盤自体を害したり、別の関数(もともとマルウェアを含まない関数)に、与えたIAM権限の範囲を無視して感染していくというわけではなさそうかな?
Re: (スコア:0)
>Lambdaを狙ったものと聞くと専用のマルウェアで他では動作しないという感覚
そちらの方が分からんなあ。
狙ったかどうかは行為者が対象として見ているかどうかで決まる事で、手段が専用かどうかは関係ないだろ。
汎用性が高い手段で特定ターゲットを狙うなんて良くある話。
「若年層を狙った」「老人を狙った」「女性を狙った」とか犯罪報道であるけども、
大抵は他の層にだって対応できる手段だったりするよな。
Re: (スコア:0)
レンタルサーバ上で脆弱性のあるCMS使ってサイト運用してる客がいるとして、
その脆弱性をついてその客の権限であれこれされた時に
「レンタルサーバサービス〇〇を狙った攻撃」
なんて表現するんか?って話だと思うが。
ふつーは当該のCMSを狙った攻撃って表現するんじゃないか?
XMRigはMalwareじゃなくRiskwareでは? (スコア:0)
最近は、XMRigみたいなソフトは、全部Malwareに分類するのではなく、
RiskwareやらMinerに分類するセキュリティソフトが多いと思うよ
ソフト自体はまっとうだが、ろくでもない用途に使われやすい感じのソフトは、
そういった分類に変化しつつある
Re: (スコア:0)
そんな分類をしたところで誰も救われない。
むしろ「Malwareじゃないから安全」と誤解させて悪戯に被害者を増やすだけ。
Re:XMRigはMalwareじゃなくRiskwareでは? (スコア:1)
そもそも分類は別に誰かを救うのが直接の目的じゃなくて
現状を正しく分析・認識して、それから対処を考えるためのものなんですが。
現状を歪めて認識しても最終的に悪戯に被害者を増やすだけです。
Re: (スコア:0)
なんで対処するの?自己満足のため?
違うだろ?
Re: (スコア:0)
分類の基準を選ぶときのコスト関数は「直接的に」誰かを救える数だけじゃないってことだよ。
あなたが勝手に基準を主張するのは勝手だけど、結果的に救える数を増やすことができる専門家はあなたのオレオレ基準は評価しないしそれで動いたりもしません。
つまらない理想論を振り回しても現実の脅威には無意味だし有害なだけ。
(相手が何を言いたいのか短いセンテンスから読み取る訓練をしてください)
Re: (スコア:0)
自分としては「一般人を守るため」と称して自分の気に入らない奴を排除する世界に近づいてるのがやだな
ロシア製/西側性のアプリの動作を妨害するとかロリファイル発見したら通報するとか
豚の画像発見したらHDD破壊するとかになる日は近そう
この件だって(#4229996)にもあるような何とでも取れるものをマルウェアとあげつらっての点数稼ぎじゃね?
そんなセキュリティ会社のマッチポンプに巻き込まれたらAWSもそりゃ怒るだろうよ
プリウスを自由に運転できるマルウェア (スコア:0)
「プリウスを自由に運転できるマルウェア」という触れ込みなんだけど
手口を見ると、「まず、何らかの手法でコンピュータにアクセスします」って書いてあった気分
いや、その「何らかの手法」の方が主体なのでは?