Siloscape: WindowsServerコンテナを標的とする最初のマルウェア

Siloscapeは、クラウド環境でKubernetesクラスターに感染することを目的として、完全にWindowsServerコンテナーを標的とする最初の既知のマルウェアの名前です。.

このマルウェアは、Palo AltoUnit42のセキュリティ研究者であるDanielPrizmantによって発見されました。:

3月 2021, Windowsコンテナを標的とする最初の既知のマルウェアを発見しました, 過去数年間でクラウドの採用が急増したことを考えると、驚くことではない開発です。. マルウェアにSiloscapeという名前を付けました (サイロ脱出のように聞こえます) その主な目標はコンテナを脱出することだからです, Windowsでは、これは主にサーバーサイロによって実装されます, 彼は彼の出版物で言った.

Siloscapeマルウェアの調査

Siloscapeの目的は何ですか, このマルウェアは、構成が不十分なKubernetesクラスターにバックドアを開き、クリプトジャッカーなどの悪意のあるコンテナーを実行することを目的としています。. さらに, マルウェアは「非常に難読化されています,」であり、個々のコンテナではなくクラスタ全体を対象としているため, その影響は非常に悲惨なものになる可能性があります.

“他のマルウェアターゲティングコンテナとは異なり, これは主にクリプトジャッキングに焦点を当てています, Siloscapeは、それ自体でクラスターに害を及ぼすようなことは実際には何もしません。. その代わり, 検出されず、追跡できないことに焦点を当て、クラスターへのバックドアを開きます,」プリズマントは言った.

「クラスター全体を危険にさらすのは、個々のコンテナーを危険にさらすよりもはるかに深刻です。, クラスターは複数のクラウドアプリケーションを実行できますが、個々のコンテナーは通常単一のクラウドアプリケーションを実行します,Prizmantは彼のレポートで説明しました. Siloscapeマルウェアは、攻撃者が組織から重要な情報を盗むことを可能にする可能性があります, ユーザー名やパスワードなど, 機密, 内部ファイル, または、侵害されたクラスターでホストされているデータベース全体でさえ.

攻撃シナリオには、ランサムウェアも含まれます, 組織のファイルを人質にすることができる場所, またはソフトウェアサプライチェーン攻撃における開発環境またはテスト環境の侵害. 後者の攻撃はかなりありそうです, ますます多くの企業がクラウドに移行しているため, テスト環境としてKubernetesクラスターを使用する.

関連している: フィッシングメールでハッカーに悪用されたMicrosoftとGoogleのクラウドインフラストラクチャ

技術的な詳細に関して, Siloscapeマルウェアは、Torプロキシと.onionドメインを使用して、C2サーバーに匿名で接続します. 単位 42 識別された 23 アクティブなSiloscapeの犠牲者. また, そのサーバーはホストに使用されていました 313 合計ユーザー , マルウェアが大規模な操作のごく一部であったことを示します. 研究者はまた、この特定のキャンペーンが1年以上アクティブであったことを確認することができました.

Siloscapeマルウェアを軽減する方法
初めに, 管理者は、Kubernetesクラスターが安全に構成されていることを確認する必要があります. 保護されたKubernetesクラスターがSiloscapeマルウェアに対してそれほど脆弱ではないことは注目に値します, ノードの特権は新しいデプロイメントを作成するのに十分ではないため, Prizmantは結論を出しました.

KubernetesとDockerを標的とするクリプトジャッキングマルウェア

去年, TeamTNTクリプトマイニングオペレーター AWSをターゲットにしていました (アマゾンウェブサービス) クレデンシャルとKubernetesのインストール. マルウェアは、感染したサーバーをスキャンしてAWSクレデンシャルを探す可能性があります. 侵害されたDockerおよびKubernetesシステムがAWSで実行されていた場合, マルウェアグループは〜/ .aws / credentialsと〜/ .aws/configをスキャンします. それで, コマンドアンドコントロールサーバーにファイルをコピーしてアップロードします.