< p class = "meta"> Av Charlie Osborne för Zero Day | 7 juni 2021 – 10:00 GMT (11:00 BST) | Ämne: Säkerhet
Ett nytt varumärke av skadlig kod som är utformad för att äventyra Windows-behållare för att nå Kubernetes-kluster har avslöjats av forskare.
Den skadliga programvaran, kallad Siloscape, anses vara ovanlig eftersom skadlig programvara som vanligtvis är utformad för att rikta in sig på behållare fokuserar på Linux som ett populärt operativsystem för hantering av molnapplikationer och miljöer.
Enligt Palo Alto Networks enhet 42 har Siloscape, som först upptäcktes i mars i år, utsetts som sådant eftersom dess övergripande mål är att undkomma Windows-containrar via en serversilo.
I ett blogginlägg på måndag sa cybersäkerhetsforskarna att Siloscape använder Tor-proxy och en .onion-domän för att ansluta till sin C2-server (Command-and-Control), som används av hotaktörer för att hantera sin malware, dataexfiltrering och för att skicka kommandon.
Skadlig kod, märkt som CloudMalware.exe, riktar sig mot Windows-behållare – med hjälp av Server snarare än Hyper-V-isolering – och kommer att starta attacker med kända sårbarheter som inte har lappats för initial åtkomst mot servrar, webb sidor eller databaser.
Siloscape kommer sedan att försöka uppnå fjärrkörning av kod (RCE) på den underliggande noden i en container genom att använda olika Windows-containerutflyttningstekniker, såsom imitering av CExecSvc.exe, en containeravbildningstjänst, för att få SeTcbPrivilege-behörigheter.
“Siloscape imiterar CExecSvc.exe-privilegier genom att utge sig för dess huvudtråd och sedan anropa NtSetInformationSymbolicLink på en nyskapad symbolisk länk för att bryta ut ur behållaren”, säger enhet 42. “Mer specifikt länkar den sin lokala containeriserade X-enhet till värdens C-enhet.”
Om skadlig programvara kan fly, kommer den att försöka skapa skadliga behållare, stjäla data från applikationer som körs i komprometterade kluster, eller kommer att ladda upp kryptovaluta gruvarbetare för att utnyttja systemets resurser för att dölja mina för kryptovaluta och tjäna dess operatörer vinst så länge när aktiviteterna inte upptäcks.
Malwareutvecklarna har säkerställt att kraftig fördunkning är på plats – till den punkt där funktioner och modulnamn bara deobfuskeras vid körning – för att dölja sig själv och göra omvänd teknik svårare. Dessutom använder skadlig programvara ett par nycklar för att dekryptera C2-serverns lösenord – nycklar som misstänks genereras för varje unik attack.
“Den hårdkodade nyckeln gör varje binär lite annorlunda än resten, varför jag inte kunde hitta sin hash någonstans”, säger forskningen. “Det gör det också omöjligt att upptäcka Siloscape endast med hash.”
Enhet 42 lyckades få tillgång till C2 och identifierade totalt 23 aktiva offer samt 313 offer totalt, sannolikt säkrade i kampanjer under det senaste året. Det tog dock bara några minuter innan forskarnas närvaro noterades och de sparkades ut från servern och tjänsten gjordes inaktiv – åtminstone på den .onion-adressen.
Microsoft rekommenderar att Hyper-V-containrar distribueras om containerisering används som en form av säkerhetsgräns snarare än att förlita sig på vanliga Windows-behållare. Enhet 42 tillade att Kubernetes-kluster ska konfigureras ordentligt och inte tillåta nodbehörighet ensam att vara tillräckligt för att skapa nya distributioner.
Tidigare och relaterad täckning
Perfekt storm: Bedrägeri skyrocketar ut ur pandemin – Necro Python-bot förnyad med ny VMWare, serverutnyttjande
FBI, DOJ för att behandla ransomware-attacker med liknande prioritet som terrorism
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Centers 