云计算安全企业Mitiga近日警告,他们发现有个AWS社群AMI藏有恶意的挖矿程序,利用企业的计算资源来挖矿,呼吁企业在AWS EC2实例上使用社群AMI时,应该要先行验证。
AMI的全名为Amazon机器镜像文件(Amazon Machine Image,AMI),它是个软件配置样版,内置操作系统、应用程序服务器与应用程序等,在Amazon Elastic Compute Cloud(Amazon EC2)上启动一个实例时,即是借由AMI提供必要的信息。有许多企业打造了各种AMI并借由AWS Marketplace销售,但也有企业在AWS Marketplace上提供免费的社群AMI(Community AMI),两者之间最大的差别在于,前者是经过Amazon验证的,后者则否。
此次Mitiga在客户的EC2服务器上,所发现的恶意AMI即是属于社群AMI,该AMI是基于Windows Server 2008,且内置了门罗币(Monero)挖矿程序。黑客的意图很明显,就是由企业支付运算费用,但由黑客收割挖矿绩效。
Mitiga指出,若黑客可在社群AMI上植入挖矿程序,也就能在社群AMI上植入后门,以用来渗透企业的Windows机器或环境,也可能访问该账号的整个EC2结构,或者是嵌入勒索软件,带来更严重的伤害。
Mitiga共同创办人暨首席技术官Ofer Maor则警告,在企业的关键业务中采用开放的AMI,将带来重大的安全风险,这些社群AMI非常容易取得,而且通常来自未知来源。建议AWS用户应该要特别小心社群AMI,在采用它们之前最好先行验证,也应使用可靠来源的AMI。