Cryptominer encontrado integrado en AWS Neighborhood AMI



Los investigadores aconsejan a los usuarios de Amazon Internet Providers que ejecutan Neighborhood Amazon Machine Illustrations or photos que las verifiquen en busca de códigos potencialmente maliciosos.

Los investigadores de seguridad instan a los clientes de AWS que ejecutan instancias de Elastic Cloud Compute (EC2) basadas en imágenes de máquinas de Amazon (AMI) de la comunidad a que busquen código incrustado potencialmente malicioso, tras descubrir un criptominer que acecha dentro de una AMI de la comunidad.

Una AMI es una plantilla con una configuración de software (un sistema operativo, un servidor de aplicaciones y aplicaciones) necesarias para iniciar una máquina virtual. Desde una AMI, los usuarios inician una instancia o una copia de la AMI que se ejecuta como un servidor virtual en la nube. Los usuarios pueden lanzar varias instancias desde una AMI cuando necesitan varias instancias con la misma configuración, o pueden usar diferentes AMI para lanzar instancias cuando se necesitan diferentes configuraciones.

Las AMI varían según las necesidades de los usuarios y existen diferentes formas de obtenerlas a través de Amazon. Uno es AWS Market, donde los usuarios pueden comprar AMI o pagar por uso. Estas AMI son verificadas por Amazon y solo pueden ser publicadas por usuarios preaprobados. Amazon EC2 se integra con Market para que los desarrolladores puedan cobrar a otros usuarios de EC2 por el uso de AMI.

Amazon EC2 permite a los usuarios crear AMI de comunidad al hacerlas públicas para que se compartan con otras cuentas de AWS. Alguien que crea una AMI comunitaria puede permitir que todas las cuentas de AWS lancen la AMI o solo permitir algunas cuentas específicas. Aquellos que lanzan una AMI comunitaria no pagan por la AMI en sí, sino por los recursos informáticos y de almacenamiento utilizados en esa máquina.

«Si quiero un servidor Windows, puedo obtener una instancia de Amazon EC2 nueva y limpia, instalar Windows Server en ella, hacer todo yo mismo o puedo ir a buscar una AMI que haga todo esto por mí, y todo lo que necesito Lo que hay que hacer es pagar y poner la máquina en funcionamiento «, dice Ofer Maor, cofundador y director de tecnología de la empresa de respuesta a incidentes como servicio Mitiga, donde los expertos descubrieron este problema.

Los usuarios pueden elegir una AMI comunitaria como una solución consciente de los costos sin embargo, Maor dice que el escenario más probable es que encuentren exactamente lo que buscan en una AMI comunitaria. Es importante que equilibren el ahorro de costos y la conveniencia con los riesgos que plantean los binarios potencialmente maliciosos. A diferencia de las AMI de Marketplace, Amazon no verifica las AMI de la comunidad.

Este es el quid de un aviso de Mitiga, que trabaja con empresas que ejecutan entornos de nube híbridos o completos. Los expertos estaban investigando un incidente para una institución financiera cuando necesitaban examinar algunas máquinas con Windows 2008 Server.

«Nos encontramos con esta máquina, le hicimos algunas pruebas y, mientras trabajábamos en ella, nos dimos cuenta de que algo andaba mal», explica Maor. «Fue lento … cuando comenzamos a buscar, notamos que estaba usando muchos más recursos informáticos de los que se suponía que debía usar».

La investigación reveló un criptominer Monero activo ejecutándose en uno de los servidores EC2 de la organización. Es un «ataque bastante bueno», dice. Alguien le dio a la comunidad un recurso gratuito que busca criptomonedas en segundo plano. El principal problema hoy en día en la minería de criptomonedas es la cantidad de recursos utilizados.

«De esta manera, quienquiera que haya ejecutado esta AMI … está pagando por la computación, pero la criptomoneda extraída va para el atacante», explica Maor. Es posible que una empresa más grande nunca preste atención a este cálculo adicional porque su cuenta de Amazon ya podría costar cientos de miles de dólares.

Mitiga estima que este AMI ha existido durante cinco años y el criptominer se estaba ejecutando en él desde el principio. Parece que los adversarios que publicaron esta AMI la diseñaron para facturar a los clientes de AWS por la computación mientras extraían criptomonedas.

Si bien el equipo no ha explorado las miles de AMI disponibles, creen que este problema probablemente podría existir en otras. «He estado trabajando en seguridad durante 25 años y la experiencia demuestra que siempre que hay algo que se puede hacer, se está haciendo», dice Maor. Y este no es un ataque difícil de llevar a cabo: un intruso solo necesitaría comprender cómo funciona la nube.

El potencial de ataque es mucho más preocupante que la criptominería, señalan los investigadores. Por ejemplo, es posible que alguien pueda instalar una puerta trasera que le permita conectarse a una máquina con Home windows y moverse por el entorno de destino. Alternativamente, esa persona podría plantar ransomware con un desencadenante retardado.

«No existe una verificación o command real de lo que entra en las AMI de la comunidad», dice Maor.

Dada la facilidad de hacer que las AMI maliciosas estén disponibles para uso público, Mitiga está publicando un aviso para advertir a los usuarios de AMI de la comunidad sobre esta amenaza potencial. Aconseja verificar las instancias en busca de códigos maliciosos o terminarlas por completo para buscar AMI de fuentes confiables. Maor señala que Marketplace es la forma más segura de hacerlo, ya que aquellos que pueden poner AMI en Market deben ser verificados por Amazon y pasar por un programa de asociación.

Kelly Sheridan es la editora de individual de Dim Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique