< p class = "meta"> Av Charlie Osborne for Zero Day | 7. juni 2021 – 10:00 GMT (11:00 BST) | Emne: Sikkerhet
Et nytt merkevare med skadelig programvare designet for å kompromittere Windows-containere for å nå Kubernetes-klynger, er blitt avslørt av forskere.
Malware, kalt Siloscape, regnes som uvanlig, ettersom malware generelt er designet for å målrette containere, fokuserer på Linux som et populært operativsystem for administrering av skyapplikasjoner og miljøer.
I følge Palo Alto Networks 'Unit 42, har Siloscape, som først ble oppdaget i mars i år, blitt kåret som sådan fordi det overordnede målet er å unnslippe Windows-containere via en server-silo.
I et blogginnlegg på mandag sa cybersikkerhetsforskerne at Siloscape bruker Tor-proxyen og et .onion-domene for å koble til kommandostyringstjeneren (C2), brukt av trusselaktører til å administrere skadelig programvare. , dataeksfiltrering og å sende kommandoer.
Skadelig programvare, merket som CloudMalware.exe, retter seg mot Windows-containere – ved hjelp av Server i stedet for Hyper-V-isolasjon – og vil starte angrep som bruker kjente sårbarheter som ikke har blitt lappet for første tilgang mot servere, websider eller databaser.
Siloscape vil da forsøke å oppnå ekstern kjøring av kode (RCE) på den underliggende noden til en container ved å bruke forskjellige Windows-container-rømningsteknikker, for eksempel etterligning av CExecSvc.exe, en containerbildetjeneste, for å oppnå SeTcbPrivilege-rettigheter.
“Siloscape etterligner CExecSvc.exe-rettigheter ved å utgi seg for hovedtråden og kaller deretter NtSetInformationSymbolicLink på en nyopprettet symbolsk lenke for å bryte ut av beholderen,” sier Unit 42. “Mer spesifikt kobler den sin lokale containeriserte X-stasjon til vertsens C-stasjon.”
Hvis skadelig programvare er i stand til å unnslippe, vil den prøve å lage ondsinnede containere, stjele data fra applikasjoner som kjører i kompromitterte klynger, eller vil laste opp gruvearbeidere av kryptovaluta for å utnytte systemets ressurser til å skjule gruve for kryptovaluta og tjene operatørene fortjeneste så lenge ettersom aktivitetene ikke blir oppdaget.
Utviklerne av skadelig programvare har sørget for at tung forvirring er på plass – til det punktet hvor funksjoner og modulnavn bare blir deobfusert ved kjøretid – for å skjule seg og gjøre omvendt utvikling vanskeligere. I tillegg bruker skadelig programvare et par nøkler for å dekryptere C2-serverens passord – nøkler som mistenkes generert for hvert unike angrep.
“Den hardkodede nøkkelen gjør hver binær binær litt annerledes enn resten, og det er grunnen til at jeg ikke fant hasjen sin noe sted,” sier forskningen. “Det gjør det også umulig å oppdage Siloscape med hasj alene.”
Enhet 42 klarte å få tilgang til C2 og identifiserte totalt 23 aktive ofre, samt 313 ofre totalt, sannsynligvis sikret i kampanjer det siste året. Imidlertid var det bare minutter før forskernes tilstedeværelse ble notert, og de ble sparket ut av serveren, og tjenesten ble gjort inaktiv – i det minste på den .onion-adressen.
Microsoft anbefaler at Hyper-V-containere distribueres hvis containerisering brukes som en form for sikkerhetsgrense i stedet for å stole på standard Windows-containere. Enhet 42 la til at Kubernetes-klynger skal konfigureres riktig og ikke skal tillate nodeprivilegier alene å være nok til å skape nye distribusjoner.
Tidligere og beslektet dekning
Perfekt storm: Svindel skyter i været fra pandemi
Necro Python-bot fornyet med ny VMWare, serverutnyttelse
FBI, DOJ for å behandle ransomware-angrep med lignende prioritet som terrorisme
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Microsoft Security TV Data Management CXO Data Centers 