Siloscape er navnet på den første kendte malware, der målretter udelukkende Windows Server-containere med den hensigt at inficere Kubernetes-klynger i skymiljøer.
Malwaren blev opdaget af Palo Alto Unit 42s sikkerhedsforsker Daniel Prizmant:
I marts 2021, Jeg afdækkede den første kendte malware, der målretter mod Windows-containere, en udvikling, der ikke er overraskende i betragtning af den enorme stigning i cloudadoption gennem de sidste par år. Jeg kaldte malware Siloscape (lyder som silo flugt) fordi dets primære mål er at undslippe containeren, og i Windows implementeres dette hovedsageligt af en serversilo, sagde han i sin publikation.
Et kig ind i Siloscape Malware
Hvad formålet med Siloscape er, malware sigter mod at åbne en bagdør i dårligt konfigurerede Kubernetes-klynger og køre ondsindede containere såsom cryptojackers. Endvidere, malware er “stærkt tilsløret,”Og da det er målrettet mod hele klynger i stedet for individuelle containere, dens indvirkning kan være ret katastrofal.
“I modsætning til andre målrettede containere til malware, som for det meste er fokuseret på cryptojacking, Siloscape gør faktisk ikke noget, der vil skade klyngen alene. I stedet, det fokuserer på at være uopdaget og ikke sporbar og åbner en bagdør til klyngen,”Sagde Prizmant.
”At kompromittere en hel klynge er meget mere alvorlig end at kompromittere en enkelt container, som en klynge kunne køre flere skyapplikationer, mens en individuel container normalt kører en enkelt skyapplikation,”Prizmant forklarede i sin rapport. Siloscape-malware kan gøre det muligt for en hacker at stjæle vigtige oplysninger fra en organisation, såsom brugernavne og adgangskoder, fortrolig, interne filer, eller endda hele databaser hostet i den kompromitterede klynge.
Angrebsscenarier inkluderer også ransomware, hvor en organisations filer kan holdes som gidsler, eller overtrædelse af udviklings- eller testmiljøer i softwareforsyningskædeangreb. Sidstnævnte angreb er ganske sandsynligt, som et stigende antal virksomheder flytter til skyen, ved hjælp af Kubernetes-klynger som deres testmiljøer.
Relaterede: Microsoft og Googles skyinfrastruktur misbrugt af hackere i phishing-e-mails
Med hensyn til tekniske detaljer, Siloscape-malware bruger Tor-proxy og et .onion-domæne til anonymt at oprette forbindelse til sin C2-server. Enhed 42 identificeret 23 aktive ofre for Siloscape. Også, serveren blev brugt til at være vært 313 brugere i alt , hvilket indikerer, at malware var en lille del af en større operation. Forskeren var også i stand til at fastslå, at netop denne kampagne havde været aktiv i over et år.
Sådan afbødes mod malware fra Siloscape
Først og fremmest, administratorer bør sikre, at deres Kubernetes-klynge er konfigureret sikkert. Det er bemærkelsesværdigt, at en sikret Kubernetes-klynge ikke vil være så sårbar over for Siloscape-malware, da nodernes privilegier ikke er tilstrækkelige til at oprette nye implementeringer, Afsluttede Prizmant.
Cryptojacking Malware målrettet mod Kubernetes og Docker
Sidste år, TeamTNT-krypteringsoperatører målrettede mod AWS (Amazon Web Services) legitimationsoplysninger og Kubernetes-installationer. Malwaren kan scanne de inficerede servere for AWS-legitimationsoplysninger. Hvis de kompromitterede Docker- og Kubernetes-systemer kørte på AWS, malware-gruppen ville scanne for ~ / .aws / credentials og ~ / .aws / config. Derefter, det ville kopiere og uploade filerne på sin kommando-og-kontrol-server.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: