Siloscape ist der Name der ersten bekannten Malware, die ausschließlich auf Windows Server-Container abzielt, um Kubernetes-Cluster in Cloud-Umgebungen zu infizieren.
Die Malware wurde vom Sicherheitsforscher von Palo Alto Unit 42, Daniel Prizmant, entdeckt:
März 2021, Ich habe die erste bekannte Malware entdeckt, die auf Windows-Container abzielt, eine Entwicklung, die angesichts des massiven Anstiegs der Cloud-Einführung in den letzten Jahren nicht überraschend ist. Ich habe die Malware Siloscape genannt (Klingt nach Siloflucht) weil sein primäres Ziel darin besteht, aus dem Container zu entkommen, und in Windows wird dies hauptsächlich durch ein Serversilo realisiert, sagte er in seiner Veröffentlichung.
Ein Blick in die Siloscape-Malware
Was der Zweck von Siloscape ist, Die Malware zielt darauf ab, eine Hintertür in schlecht konfigurierte Kubernetes-Cluster zu öffnen und bösartige Container wie Cryptojacker auszuführen. Weiter, die Malware ist „stark verschleiert“,“ und da es auf ganze Cluster statt auf einzelne Container abzielt, seine Auswirkungen können ziemlich katastrophal sein.
“Im Gegensatz zu anderen Malware-Zielcontainern, die hauptsächlich auf Kryptojacking ausgerichtet sind, Siloscape tut eigentlich nichts, was dem Cluster allein schadet. Stattdessen, es konzentriert sich darauf, unentdeckt und unauffindbar zu sein, und öffnet eine Hintertür zum Cluster,“, sagte Prizmant.
„Die Kompromittierung eines ganzen Clusters ist viel schwerwiegender als die Kompromittierung eines einzelnen Containers, als Cluster mehrere Cloud-Anwendungen ausführen könnte, während ein einzelner Container normalerweise eine einzelne Cloud-Anwendung ausführt,“ erklärte Prizmant in seinem Bericht. Die Siloscape-Malware könnte es einem Angreifer ermöglichen, kritische Informationen von einem Unternehmen zu stehlen, wie Benutzernamen und Passwörter, geheim, interne Dateien, oder sogar ganze Datenbanken, die im kompromittierten Cluster gehostet werden.
Zu den Angriffsszenarien gehört auch Ransomware, wo die Akten einer Organisation als Geiseln gehalten werden können, oder Verletzung von Entwicklungs- oder Testumgebungen bei Angriffen auf die Software-Lieferkette. Der letztere Angriff ist ziemlich wahrscheinlich, Da immer mehr Unternehmen in die Cloud wechseln, Kubernetes-Cluster als Testumgebungen verwenden.
verbunden: Microsoft und Googles Cloud-Infrastruktur werden von Hackern in Phishing-E-Mails missbraucht
In Bezug auf technische Details, die Siloscape-Malware verwendet den Tor-Proxy und eine .onion-Domain, um sich anonym mit ihrem C2-Server zu verbinden. Einheit 42 identifiziert 23 aktive Siloscape-Opfer. Auch, sein Server wurde zum Hosten verwendet 313 Benutzer insgesamt , was darauf hinweist, dass die Malware ein kleiner Teil einer größeren Operation war. Der Forscher konnte auch feststellen, dass diese spezielle Kampagne seit über einem Jahr aktiv war.
Schutz vor Siloscape-Malware
Zunächst, Administratoren sollten sicherstellen, dass ihr Kubernetes-Cluster sicher konfiguriert ist. Es ist bemerkenswert, dass ein gesicherter Kubernetes-Cluster nicht so anfällig für die Siloscape-Malware ist, da die Berechtigungen der Knoten nicht ausreichen, um neue Bereitstellungen zu erstellen, Prizmant abgeschlossen.
Kryptojacking-Malware, die auf Kubernetes und Docker abzielt
Letztes Jahr, TeamTNT-Kryptomining-Betreiber zielten auf AWS ab (Amazon Web Services) Anmeldeinformationen und Kubernetes-Installationen. Die Malware könnte die infizierten Server nach AWS-Anmeldeinformationen durchsuchen. Falls die kompromittierten Docker- und Kubernetes-Systeme auf AWS ausgeführt wurden, die Malware-Gruppe würde nach ~/.aws/credentials und ~/.aws/config suchen. Dann, Es würde die Dateien kopieren und auf seinen Befehls- und Kontrollserver hochladen.