网络安全公司Mitiga,8月21日发布文章称,在AWS Marketplace上的Amazon Machine Instance(AMI)中发现了门罗币恶意挖矿软件。AWS Marketplace由经过AWS认证的受信任供应商组成,允许销售和提供许多不同种类的虚拟化服务和应用程序,任何AWS用户都可以创建AMI,并将其公开提供给使用该服务的用户。Mitiga认为,最坏的情况是AMI在企业的计算机或勒索软件上安装后门程序,该程序可以将公司文件加密,黑客向公司勒索钱财以重新获得访问权限。
Mitiga的研究人员在周五的博客文章中透露,未经验证的供应商托管的Windows 2008虚拟服务器的AWS AMI感染了挖掘脚本。该恶意软件会感染任何运行AMI的设备,目的是利用该设备的处理能力在后台挖矿。这种恶意软件攻击在加密数字领域已经非常普遍。
“ Mitiga的安全研究团队已经确定了一个AWS Community AMI,其中包含运行未知的加密矿工的恶意代码。我们担心这可能是一种普遍现象,而不是孤立的个案。”
企业和其他实体使用Amazon Web Services来启动流行程序和服务的所谓“ EC2”实例。这些EC2也称为虚拟机,需要Amazon Machine Instance才能运行,并且企业利用这些服务来降低其业务运营的计算能力成本。AWS用户可以从经过Amazon验证的供应商Amazon Marketplace AMI或未经验证的社区AMI采购这些服务。 Mitiga在为金融服务公司进行安全审核时,在Windows 2008 Server的社区AMI中发现了此挖掘脚本。在分析中,Mititga得出结论,创建AMI的唯一目的是用挖掘恶意软件感染设备,因为该脚本从第一天起就包含在AMI的代码中。除了雇用Mitiga来审查AMI的金融服务公司之外,网络安全公司还没有意识到有多少其他实体和设备感染了该恶意软件。 Mitiga的主要担忧是,该恶意软件可能是未经验证的AMI中蠕虫病毒中的几种错误之一。
“由于AWS客户的使用变得混乱,如果没有AWS自己的调查,我们无法知道这种现象的蔓延范围。但是,我们确实相信潜在风险很高,足以向使用社区AMI的所有AWS客户发布安全建议。”Mitiga建议任何运行社区AMI的实体都应立即终止它,并从受信任的供应商那里寻找替代产品。至少,依赖AWS的企业应该在将未经验证的AMI集成到其业务逻辑中之前,认真审查代码。
该公司继续说道,挖掘恶意软件实际上可能是企业可能遇到的最无害的感染形式。最坏的情况是,AMI在企业的计算机或勒索软件上安装了后门程序,该后门程序将对公司的文件进行加密,目的是勒索该文件以获取金钱以重新获得访问权限。
这种攻击是所谓的“加密劫持”攻击趋势中的最新一种。凭借其挖掘算法,可以成为攻击者的首选,该算法可以使用计算机的CPU和GPU轻松运行。当攻击者感染足够多的计算机并集中其资源时,集体的哈希能力足以赢得丰厚的回报。
令人值得欣慰的是,已经有很多机构发现了这种恶意劫持软件的危害,曾执行曼哈顿计划、世界上最大的科学和技术研究机构之一Los Alamos国家实验室(LANL)发布博客文章称,研究人员开发了一种新的人工智能(AI)系统,该系统能够识别劫持超级计算机以挖掘比特币或门罗币等加密货币的恶意代码。项目研究人员Gopinath Chennupati称,针对欧洲或其他地区最近的计算机入侵,这种类型的软件对防止加密货币矿工入侵高性能计算设施和窃取宝贵的计算资源至关重要,他们开发的SiCaGCN神经网络算法通过检查给定程序是否具有在计算机系统上运行的正确后端结构来工作,可以比非AI解决方案更快、更可靠地检测到加密劫持代码。