Siloscape: този нов зловреден софтуер е насочен към контейнери на Windows за достъп до клъстерите Kubernetes

Нова марка зловреден софтуер, предназначена да компрометира контейнери на Windows, за да достигне клъстерите Kubernetes, беше разкрита от изследователите.

Злонамереният софтуер, наречен Siloscape, се счита за необичаен, тъй като зловредният софтуер, обикновено проектиран да насочва контейнери, се фокусира върху Linux като популярна операционна система за управление на облачни приложения и среди.

Според Palo Alto Networks ‘ Блок 42, Siloscape, открит за първи път през март тази година, е обявен за такъв, тъй като основната му цел е да избяга от контейнерите на Windows чрез сървърния силоз.

В публикация в блог в понеделник изследователите на киберсигурността заявиха, че Siloscape използва прокси Tor и домейн .onion, за да се свърже със своя сървър за командване и управление (C2), използван от участниците в заплахата за управление на техния зловреден софтуер, дефилтрация на данни и за изпращане команди.

Злонамереният софтуер, означен като CloudMalware.exe, е насочен към контейнери на Windows – използвайки Server, а не Hyper-V изолация – и ще стартира атаки, използвайки известни уязвимости, които не са били коригирани за първоначален достъп срещу сървъри, уеб страници или бази данни.

След това Siloscape ще се опита да постигне дистанционно изпълнение на код (RCE) на основния възел на контейнер, като използва различни техники за избягване на контейнери на Windows, като представянето за CExecSvc.exe, услуга за изображение на контейнер, за да получи привилегии SeTcbPrivilege.

“Siloscape имитира привилегии CExecSvc.exe, като се представя за основната си нишка и след това извиква NtSetInformationSymbolicLink на новосъздадена символна връзка, за да излезе от контейнера”, казва Unit 42. „По-конкретно, той свързва своето локално контейнерирано X устройство с устройството C на хоста.“

Ако зловредният софтуер е в състояние да избяга, той ще се опита да създаде злонамерени контейнери, да открадне данни от приложения, работещи в компрометирани клъстери, или ще зареди майнери на криптовалута, за да използва ресурсите на системата, за да скрито копае за криптовалута и да печели от операторите си за толкова дълго време тъй като дейностите остават неоткрити.

Разработчиците на зловредния софтуер са се уверили, че е налице тежко замъгляване – до точката, в която функциите и имената на модулите се деобфускират само по време на изпълнение – за да се прикрие и да направи по-трудно обратното проектиране. Освен това зловредният софтуер използва двойка ключове за дешифриране на паролата на сървъра C2 – ключове, за които се подозира, че са генерирани за всяка уникална атака.

„Твърдо кодираният ключ прави всеки двоичен файл малко по-различен от останалите, поради което никъде не можах да намеря неговия хеш“, се посочва в изследването. “Освен това прави невъзможно откриването на Siloscape само чрез хеширане.”

Блок 42 успя да получи достъп до С2 и идентифицира общо 23 активни жертви, както и общо 313 жертви, вероятно осигурени в кампании през последната година. Въпреки това, само минути преди присъствието на изследователите беше отбелязано и те бяха изхвърлени от сървъра и услугата беше направена неактивна – поне на този .onion адрес.

Microsoft препоръчва Hyper-V контейнерите да бъдат внедрени, ако контейнеризирането се използва като форма на граница на сигурност, вместо да разчита на стандартни Windows контейнери. Раздел 42 добави, че клъстерите Kubernetes трябва да бъдат конфигурирани правилно и не трябва да позволяват само привилегиите на възлите да бъдат достатъчни за създаване на нови разполагания.


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com