《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Windows惡意軟件以Kubernetes開源容器集群管理系統(tǒng)為目標(biāo)

Windows惡意軟件以Kubernetes開源容器集群管理系統(tǒng)為目標(biāo)

2021-06-25
來源:嘶吼專業(yè)版
關(guān)鍵詞: Windows 惡意軟件 Kubernetes

  Windows Container已成為第一個(gè)已知的以Windows Container為目標(biāo)的惡意軟件的受害者,。在這次攻擊活動(dòng)中,,惡意軟件團(tuán)伙穿透Kubernetes集群以植入后門,使得攻擊者可以竊取數(shù)據(jù)和用戶憑據(jù),甚至劫持集群中托管的整個(gè)數(shù)據(jù)庫,。

  該惡意軟件是由Unit 42安全研究員Daniel Prizmant發(fā)現(xiàn)的,。他將其命名為“Siloscape”,,發(fā)音為“Silo escape”,。該惡意軟件會(huì)撬開Web服務(wù)器和數(shù)據(jù)庫中的已知漏洞,,從而破壞Kubernetes節(jié)點(diǎn)和后門集群,。

  在周一發(fā)布的一篇文章中,,Prizmant寫道,Siloscape是通過Windows Container攻擊Kubernetes集群的惡意軟件,,其主要目的是打開“后門進(jìn)入配置不當(dāng)?shù)腒ubernetes集群以運(yùn)行惡意container”,。

  在較受歡迎的容器的中脫穎而出

  在另一篇文章中,,Unit 42研究人員Ariel Zelivansky和Matthew Chiodi將容器與貨船上用于打包不同材料的集裝箱進(jìn)行了比較,。云容器具有類似的功能,因?yàn)樗鼈兛梢詫⒉煌牟牧洗虬谝黄鹨蕴岣咝?,從而使開發(fā)團(tuán)隊(duì)能夠快速移動(dòng)并“以幾乎任何規(guī)?!边\(yùn)行。

  以這種方式在容器中運(yùn)行應(yīng)用程序被稱為容器化,,并且與其他遠(yuǎn)程工作方式一樣,由于COVID-19的流行,,它得到了大力發(fā)展,。研究人員指出:“近年來,我們看到越來越多的組織在云中使用容器,,尤其是因?yàn)镃OVID-19大流行導(dǎo)致許多組織在尋求一種更快地移動(dòng)和更有效地部署云工作payload的方式?!?/p>

  第一個(gè)針對(duì)Windows Container的惡意軟件

  根據(jù)Zelivansky和Chiodi的說法,,這是研究人員第一次看到針對(duì)Windows Container的惡意軟件。他們說,,云環(huán)境中的Linux操作系統(tǒng)已經(jīng)非常流行,。

  Unit 42研究人員已經(jīng)確定了23名Siloscape受害者,,并表示有證據(jù)表明該活動(dòng)已于一年多前發(fā)起。

  Prizmant通過收集服務(wù)器的創(chuàng)建日期來確定該活動(dòng)的開始日期,,大約在2020年1月12日,。但他也指出,,這并不一定意味著Siloscape是在那個(gè)日期創(chuàng)建的,相反,,這很可能是惡意軟件活動(dòng)開始的時(shí)候。

  經(jīng)過特別艱難的逆向工程,,Prizmant能夠連接到Siloscape命令和控制(C2)服務(wù)器,,他發(fā)現(xiàn)該服務(wù)器總共托管了313個(gè)用戶。他說,,這意味著Siloscape是“更廣泛的活動(dòng)的一小部分”。

  Siloscape如何逃逸

  該惡意軟件首先針對(duì)常見云應(yīng)用程序(例如Web服務(wù)器)中的已知漏洞(“1-days”)進(jìn)行攻擊。這種初始訪問可能是通過利用在野外發(fā)現(xiàn)的漏洞獲得的,。去年,Prizmant記錄了一種打破Windows Container邊界的方法,。在2020年發(fā)表的一份報(bào)告中,,他描述了如果攻擊者從容器中逃離,他們會(huì)做什么,。

  他選擇將重點(diǎn)放在當(dāng)前的場(chǎng)景上:從Kubernetes中的Windows集群節(jié)點(diǎn)逃脫,,這將允許攻擊者獲得節(jié)點(diǎn)外的訪問權(quán)并擴(kuò)散到集群中。

  在入侵Web服務(wù)器后,,Siloscape使用容器逃逸策略在Kubernetes節(jié)點(diǎn)上實(shí)現(xiàn)代碼執(zhí)行,。Prizmant說,,Siloscape大量使用混淆使得逆向工程變得很麻煩?!罢麄€(gè)二進(jìn)制文件中幾乎沒有可讀的字符串。雖然混淆邏輯本身并不復(fù)雜,,但它使得反轉(zhuǎn)這個(gè)二進(jìn)制文件變得非常艱難,,”他解釋說,。

  該惡意軟件會(huì)混淆函數(shù)和模塊名稱(包括簡(jiǎn)單的API),,并且僅在運(yùn)行時(shí)對(duì)其進(jìn)行反混淆。他說,,Siloscape不是僅僅調(diào)用函數(shù),,而是“努力使用同一函數(shù)的原生API(NTAPI)版本”,?!白罱K結(jié)果是惡意軟件很難用靜態(tài)分析工具檢測(cè)到,并且讓逆向工程也困難重重,?!?/p>

  “Siloscape使用一對(duì)唯一的密鑰為每一次新的攻擊進(jìn)行編譯,”Prizmant繼續(xù)說道,?!坝簿幋a的密鑰使每個(gè)二進(jìn)制文件與其他二進(jìn)制文件略有不同,這也就解釋了為什么我在任何地方都找不到它的哈希值,,因此也就無法僅通過哈希來檢測(cè)Siloscape,。”

  Siloscape逃逸后會(huì)干什么

  在Siloscape破壞節(jié)點(diǎn)后,,惡意軟件會(huì)四處尋找使其能夠傳播到Kubernetes集群中其他節(jié)點(diǎn)的憑據(jù),。然后,它使用IRC(一種舊協(xié)議)通過Tor匿名通信網(wǎng)絡(luò)連接到其C2服務(wù)器,,等待命令,。

  Prizmant采用了一個(gè)他認(rèn)為在連接到C2服務(wù)器時(shí)看起來合法的用戶名。成功連接后,他發(fā)現(xiàn)它仍在工作,,那里有23個(gè)“活躍受害者”,,以及一個(gè)名為admin的頻道操作員。

  不幸的是,,大約2分鐘后,,他被踢出了服務(wù)器,。兩分鐘后,,服務(wù)器關(guān)閉了——至少,,它在onion他曾經(jīng)連接的原始域中不再處于活動(dòng)狀態(tài),。

  但Siloscape惡意軟件只是整個(gè)活動(dòng)的一小部分,。C2服務(wù)器上的活躍用戶比他在#WindowsKubernetes頻道中看到的要多得多——確切地說,總共有313個(gè)用戶,。然而,,他無法識(shí)別、聯(lián)系或警告他們中的任何一個(gè),。

  “可悲的是,,當(dāng)我連接到服務(wù)器時(shí),,頻道列表是空的,,這表明服務(wù)器被配置為不顯示其頻道,”Prizmant寫道,?!耙虼?,我無法從頻道名稱中獲得更多信息?!?/p>

  但研究人員確實(shí)設(shè)法收集到了一個(gè)重要的細(xì)節(jié),,即用于受害者姓名的約定,。Unit 42研究人員使用“php_35”,,它的Siloscape樣本通過易受攻擊的php實(shí)例執(zhí)行。包含字符串“sqlinj”的其他名稱表明攻擊者可能設(shè)法通過SQL注入實(shí)現(xiàn)代碼執(zhí)行,。

  加密劫持、供應(yīng)鏈中毒等的危險(xiǎn)

  Prizmant在2020年7月的帖子中表示,他的研究表明“在[Windows Server Containers]中運(yùn)行任何代碼,,實(shí)際上都與在主機(jī)上運(yùn)行admin一樣危險(xiǎn)。這些容器不是為沙盒設(shè)計(jì)的,,并且我發(fā)現(xiàn)逃離它們很容易,。”

  他在周一的帖子中警告說,,這可能使攻擊者能夠竊取關(guān)鍵憑據(jù),、機(jī)密和內(nèi)部文件,甚至是集群中托管的整個(gè)數(shù)據(jù)庫,。如果攻擊者將組織的文件作為要挾,,它甚至可能導(dǎo)致勒索軟件攻擊,。他說,更糟糕的是組織大規(guī)模遷移到云端所帶來的威脅,。他說,,鑒于許多人正在使用Kubernetes集群來開發(fā)和測(cè)試代碼,漏洞“可能導(dǎo)致毀滅性的軟件供應(yīng)鏈攻擊”,。

  在周一的帖子中,,他解釋說,破壞整個(gè)集群比破壞單個(gè)容器要嚴(yán)重得多,,因?yàn)椤耙粋€(gè)集群可以運(yùn)行多個(gè)云應(yīng)用程序,,而單個(gè)容器通常運(yùn)行單個(gè)云應(yīng)用程序?!?/p>

  他還指出,,一方面,Siloscape與大多數(shù)云惡意軟件不同,,后者通常側(cè)重于加密挖掘和DoS之類的資源劫持,。另一方面,Siloscape“不會(huì)將自己局限在任何特定目標(biāo)上,,”Prizmant說,。“相反,,它為各種惡意活動(dòng)打開了后門,。”

  最近的供應(yīng)鏈與Kubernetes攻擊

  與Prizmant警告的相類似,,供應(yīng)鏈攻擊已經(jīng)與間諜軟件安裝,、SignSight操作,、Able Desktop的入侵、航空公司的漏洞以及其中最龐大的供應(yīng)鏈:太陽風(fēng)(SolarWinds)對(duì)美國政府的入侵密切相關(guān),。

  最近的一些頭條新聞也報(bào)道了Kubernetes的其他一些網(wǎng)絡(luò)安全事故,,包括2021年4月的安全漏洞, Kubernetes所使用的其中一個(gè)Go代碼庫中存在漏洞,,該漏洞可能會(huì)導(dǎo)致CRI-O和Podman容器引擎的拒絕服務(wù)攻擊,。CRI-O和Podman都是容器引擎,類似于Docker,,主要用于在云端執(zhí)行操作和管理容器,。CRI-O和Podman使用“containers/storage”來處理容器鏡像的存儲(chǔ)和下載。四月份早些時(shí)候,,一場(chǎng)有組織的,、自我傳播的cryptomining活動(dòng)被發(fā)現(xiàn),其目標(biāo)是配置錯(cuò)誤的開放Docker Daemon API端口,。

  研究人員表示,,同樣在4月份,微軟的云容器技術(shù)Azure Functions被發(fā)現(xiàn)存在一個(gè)漏洞,,該漏洞允許攻擊者直接寫入文件,。幾個(gè)月前,也就是2021年2月,,一種新的惡意軟件正在劫持Kubernetes集群以對(duì)Monero進(jìn)行加密,。

  云基礎(chǔ)設(shè)施需要更高的安全性,另一個(gè)可以佐證的例子是,,在最近的實(shí)驗(yàn)室測(cè)試中,,一個(gè)簡(jiǎn)單的Docker容器蜜罐在24小時(shí)內(nèi)被用于四次不同的犯罪活動(dòng)。

  云原生戰(zhàn)略

  企業(yè)數(shù)據(jù)安全公司Comforte AG的產(chǎn)品經(jīng)理Trevor Morgan認(rèn)為Siloscape是一種威脅,,它會(huì)讓企業(yè)對(duì)采用云計(jì)算感到緊張,。“企業(yè)采用云原生戰(zhàn)略是因?yàn)樗麄兿M岣邉?chuàng)新能力,。不幸的是,,大多數(shù)組織都在努力確保正確的數(shù)據(jù)安全級(jí)別,以避免損害云原生應(yīng)用程序架構(gòu),,”他周一通過電子郵件告訴Threatpost,。

  “像Siloscape這樣的惡意軟件通過攻擊容器化的核心使這項(xiàng)工作復(fù)雜化,并在云原生開發(fā)工作方面致使大家產(chǎn)生猶豫,。”他指出,,“惡意軟件威脅在靈活,、謹(jǐn)慎以及安全處理敏感數(shù)據(jù)之間做出了錯(cuò)誤的選擇,。”

  Morgan建議,,專門為云原生應(yīng)用程序構(gòu)建的以數(shù)據(jù)為中心的安全性,,例如專門為云本地應(yīng)用程序構(gòu)建的標(biāo)記化,通過保護(hù)數(shù)據(jù)本身而不是“圍繞云本地應(yīng)用程序環(huán)境的分層的,、甚至是無定形的邊界”,,可以“幫助在這兩者之間取得適當(dāng)?shù)钠胶狻薄?/p>

  “組織可以放心,數(shù)據(jù)安全不會(huì)妨礙速度和靈活性,,因?yàn)榧词乖谌萜髦械臉?biāo)記化敏感信息,,如果落入犯罪分子之手也不會(huì)受到損害,”他說,,“采用云原生策略的組織可以在實(shí)現(xiàn)效率的同時(shí)確保數(shù)據(jù)安全,。”

  應(yīng)對(duì)策略

  Prizmant建議用戶遵循Microsoft的建議,,不要將Windows容器用作安全功能,。微軟建議對(duì)依賴容器化作為安全邊界的任何事物嚴(yán)格使用Hyper-V容器,他指出:“應(yīng)假定在Windows Server容器中運(yùn)行的任何進(jìn)程都與主機(jī)上的admin具有相同的權(quán)限,,在本例中就是Kubernetes節(jié)點(diǎn),。如果您在需要保護(hù)的Windows Server容器中運(yùn)行應(yīng)用程序,我們建議將這些應(yīng)用程序移至Hyper-V容器,?!?/p>

  “Siloscape向我們展示了容器安全的重要性,正式因?yàn)榇嬖谌萜魈右?,惡意軟件才給我們?cè)斐闪巳绱酥卮蟮膿p害,,”他寫道?!敖M織保持配置良好且安全的云環(huán)境以抵御此類威脅至關(guān)重要,。”




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。