< p class="meta"> Di Charlie Osborne per Zero Day | 7 giugno 2021 — 10:00 GMT (11:00 BST) | Argomento: sicurezza
I ricercatori hanno rivelato un nuovo marchio di malware progettato per compromettere i contenitori Windows per raggiungere i cluster Kubernetes.
Il malware, soprannominato Siloscape, è considerato insolito poiché il malware generalmente progettato per colpire i contenitori si concentra su Linux come sistema operativo popolare per la gestione di applicazioni e ambienti cloud.
Secondo l'Unità 42 di Palo Alto Networks, Siloscape, scoperto per la prima volta nel marzo di quest'anno, è stato chiamato così perché il suo scopo generale è quello di sfuggire ai contenitori di Windows tramite un silo di server.
In un post sul blog di lunedì, i ricercatori della sicurezza informatica hanno affermato che Siloscape utilizza il proxy Tor e un dominio .onion per connettersi al suo server di comando e controllo (C2), utilizzato dagli attori delle minacce per gestire il loro malware, l'esfiltrazione dei dati e per inviare comandi.
Il malware, etichettato come CloudMalware.exe, prende di mira i contenitori Windows, utilizzando Server anziché l'isolamento Hyper-V, e lancerà attacchi utilizzando vulnerabilità note che non sono state corrette per l'accesso iniziale contro server, web pagine o database.
Siloscape tenterà quindi di ottenere l'esecuzione di codice remoto (RCE) sul nodo sottostante di un contenitore utilizzando varie tecniche di escape del contenitore di Windows, come la rappresentazione di CExecSvc.exe, un servizio di immagine del contenitore, per ottenere i privilegi SeTcbPrivilege.
“Siloscape imita i privilegi CExecSvc.exe impersonando il suo thread principale e quindi chiama NtSetInformationSymbolicLink su un collegamento simbolico appena creato per uscire dal contenitore”, afferma l'Unità 42. “Più specificamente, collega la sua unità X containerizzata locale all'unità C dell'host”.
Se il malware è in grado di fuggire, proverà a creare contenitori dannosi, rubare dati dalle applicazioni in esecuzione in cluster compromessi o caricherà minatori di criptovaluta per sfruttare le risorse del sistema per estrarre segretamente criptovaluta e guadagnare profitti per i suoi operatori il più a lungo possibile. poiché le attività non vengono rilevate.
Gli sviluppatori del malware si sono assicurati che sia presente un forte offuscamento, al punto che funzioni e nomi dei moduli vengono deoffuscati solo in fase di esecuzione, al fine di nascondersi e rendere più difficile il reverse engineering. Inoltre, il malware utilizza una coppia di chiavi per decrittografare la password del server C2, chiavi che si sospetta vengano generate per ogni attacco univoco.
“La chiave codificata rende ogni binario leggermente diverso dal resto, motivo per cui non sono riuscito a trovare il suo hash da nessuna parte”, afferma la ricerca. “Rende anche impossibile rilevare Siloscape solo con l'hash”.
L'Unità 42 è riuscita a ottenere l'accesso al C2 e ha identificato un totale di 23 vittime attive, oltre a 313 vittime in totale, probabilmente assicurate nelle campagne dell'ultimo anno. Tuttavia, sono passati solo pochi minuti prima che la presenza dei ricercatori venisse notata e fossero espulsi dal server e il servizio fosse reso inattivo, almeno a quell'indirizzo .onion.
Microsoft consiglia di distribuire i contenitori Hyper-V se la containerizzazione viene utilizzata come forma di confine di sicurezza anziché fare affidamento su contenitori Windows standard. Unit 42 ha aggiunto che i cluster Kubernetes dovrebbero essere configurati correttamente e non dovrebbero consentire ai soli privilegi del nodo di essere sufficienti per creare nuove distribuzioni.
Copertura precedente e correlata
Tempesta perfetta: la frode sale alle stelle uscendo dalla pandemia
Bot Necro Python rinnovato con nuovo VMWare, exploit server
FBI, DOJ per trattare attacchi ransomware con simili priorità come terrorismo
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Microsoft Security TV Data Management CXO Data Center 