kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 首款利用Windows Server容器攻陷云环境的恶意软件现身

首款利用Windows Server容器攻陷云环境的恶意软件现身

2021-06-09
来源:互联网安全内参

  研究员在今年3月初发现了这些攻击,但攻击应该至少发生了一年之久的时间。

  Palo Alto Networks 公司的安全专家表示,发现了针对并逃逸Windows Server容器以感染受害者 Kubernetes 集群基础设施的首款恶意软件

  研究人员表示在今年3月初发现了这些攻击,但攻击应该至少发生了一年之久的时间。

  研究人员表示,攻击者一直在扫描互联网中的常见云应用程序如 Web 服务器并部署老旧漏洞的 exploit,以在未修复应用程序上站稳脚跟。

  如该 web app 在 Windows Server 容器中运行,则攻击者会部署名为 “Siloscape” 的恶意软件,通过此前记录的 Windows 容器逃逸技术访问底层操作系统。如该操作系统以 Kubernetes 节点方式运行,则攻击者提取并收集该节点的凭证,而研究员认为这样做是为了跳转到公司的内部 Kubernetes 基础设施以部署具备恶意能力的新节点。

微信图片_20210609154829.jpg

  Siloscape 同时下载并安装了 Tor 客户端以联系其命令和控制服务器并接受命令。研究员表示可以访问该 C2 服务器,并在本文写作期间,该攻击者似乎感染了300多个系统。然而,截至目前,研究员尚未发现攻击者发动的任意恶意活动。

  该公司的资深安全研究员 Daniel Prizmant指出,“其它攻击容器的恶意软件一般旨在劫持密币,但 Siloscape 并不会主动执行任何损害集群的动作,而是专注于不被检测到和不被追踪到,并在集群中打开后门。”

  Palo Alto 公司正在警告各企业采取行动,将应用程序从 Windows 容器转移到微软新推出的 Hyper-V 可视化技术,而甚至微软也在推荐使用这种新技术而非老旧且安全程度更低的容器机制。

  Prizmant 表示,如不重视这一建议,重要的内部系统就可能遭攻击。虽然该攻击者很可能以密币挖掘牟利,但它同时能够将某些大型被黑企业的访问权限出租给其它犯罪组织,如勒索软件组织,获取更大的收益。

  在企业从 Windows Server 容器迁移到 Hyper-V 之前,应当部署系统以检测 Siloscape 攻击。Palo Alto Networks 报告中提到了 Siloscape 攻击的 IOCs。由于 Siloscape 还不是大规模的攻击活动,因此目前该恶意软件的某些工件难以追踪,但在今天早些时候,vx-uderground 社区已发现并共享了某些文件。



微信图片_20210517164139.jpg



本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306116;邮箱:aet@chinaaet.com。
Baidu
map