首款利用Windows Server容器攻陷云环境的恶意软件现身
2021-06-09
来源:互联网安全内参
研究员在今年3月初发现了这些攻击,但攻击应该至少发生了一年之久的时间。
Palo Alto Networks 公司的安全专家表示,发现了针对并逃逸Windows Server容器以感染受害者 Kubernetes 集群基础设施的首款恶意软件。
研究人员表示在今年3月初发现了这些攻击,但攻击应该至少发生了一年之久的时间。
研究人员表示,攻击者一直在扫描互联网中的常见云应用程序如 Web 服务器并部署老旧漏洞的 exploit,以在未修复应用程序上站稳脚跟。
如该 web app 在 Windows Server 容器中运行,则攻击者会部署名为 “Siloscape” 的恶意软件,通过此前记录的 Windows 容器逃逸技术访问底层操作系统。如该操作系统以 Kubernetes 节点方式运行,则攻击者提取并收集该节点的凭证,而研究员认为这样做是为了跳转到公司的内部 Kubernetes 基础设施以部署具备恶意能力的新节点。
Siloscape 同时下载并安装了 Tor 客户端以联系其命令和控制服务器并接受命令。研究员表示可以访问该 C2 服务器,并在本文写作期间,该攻击者似乎感染了300多个系统。然而,截至目前,研究员尚未发现攻击者发动的任意恶意活动。
该公司的资深安全研究员 Daniel Prizmant指出,“其它攻击容器的恶意软件一般旨在劫持密币,但 Siloscape 并不会主动执行任何损害集群的动作,而是专注于不被检测到和不被追踪到,并在集群中打开后门。”
Palo Alto 公司正在警告各企业采取行动,将应用程序从 Windows 容器转移到微软新推出的 Hyper-V 可视化技术,而甚至微软也在推荐使用这种新技术而非老旧且安全程度更低的容器机制。
Prizmant 表示,如不重视这一建议,重要的内部系统就可能遭攻击。虽然该攻击者很可能以密币挖掘牟利,但它同时能够将某些大型被黑企业的访问权限出租给其它犯罪组织,如勒索软件组织,获取更大的收益。
在企业从 Windows Server 容器迁移到 Hyper-V 之前,应当部署系统以检测 Siloscape 攻击。Palo Alto Networks 报告中提到了 Siloscape 攻击的 IOCs。由于 Siloscape 还不是大规模的攻击活动,因此目前该恶意软件的某些工件难以追踪,但在今天早些时候,vx-uderground 社区已发现并共享了某些文件。