事件迅捷响应公司Mitiga已经发现亚马逊AWS Marketplace上的一个产品含有门罗币(Monero)挖矿恶意软件。Mitiga公布了这一发现,并表示他们在为一家金融服务公司进行安全审计时发现了这个恶意软件。
“Mitiga的安全研究小组发现,在一个AWS社区AMI中含有恶意代码,该代码运行的是身份不明的门罗币加密货币矿机。”Mitiga在博客文章中称,“我们担心这并非个例,而是普遍现象。”
AWS Marketplace存在恶意软件
很可惜,AWS Marketplace允许所有人在该市场上销售虚拟服务。虽然该市场的供应商普遍经过验证,但是也有一些产品是来自未经验证的社区成员。
Mitiga发现一名社区成员销售Windows 2008虚拟服务器,如果用户下载该服务器,它就会悄悄使用该用户的计算机算力,在后台进行门罗币挖矿。虽然在亚马逊AWS Marketplace上存在门罗币挖矿恶意软件让人有些意外,但是亚马逊的政策明确规定:
“亚马逊不保证其他Amazon EC2用户共享的AMI的完整性或安全性。因此,您在处理共享的AMI时,应该像处理其他您可能会考虑在自己的数据中心部署的外来代码一样,对其执行适当的尽职调查。我们建议您通过可靠来源获取AMI。”
降低攻击向量
为免遭AWS市场上社区成员产品的恶意攻击,Mitiga建议“验证或终止这些实例[未经验证的产品],并从可靠来源寻求AMI”。
“由于AWS客户的使用情况模糊不清,所以如果AWS自己不调查,我们就无法知道这种现象发展到了什么程度。”Mitiga表示,“不过,我们相信潜在风险很高,所有使用社区AMI的AWS用户应收到安全建议。”