WindowsContainer已成为第一个已知的以Windows Container为目标的恶意软件的受害者。在这次攻击活动中，恶意软件团伙穿透Kubernetes集群以植入后门，使得攻击者可以窃取数据和用户凭据，甚至劫持集群中托管的整个数据库。

　　该恶意软件是由Unit 42安全研究员Daniel Prizmant发现的。他将其命名为“Siloscape”，发音为“Silo escape”。该恶意软件会撬开Web服务器和数据库中的已知漏洞，从而破坏Kubernetes节点和后门集群。

　　在周一发布的一篇文章中，Prizmant写道，Siloscape是通过Windows Container攻击Kubernetes集群的恶意软件，其主要目的是打开“后门进入配置不当的Kubernetes集群以运行恶意container”。

在较受欢迎的容器的中脱颖而出

　　在另一篇文章中，Unit 42研究人员Ariel Zelivansky和Matthew Chiodi将容器与货船上用于打包不同材料的集装箱进行了比较。云容器具有类似的功能，因为它们可以将不同的材料打包在一起以提高效率，从而使开发团队能够快速移动并“以几乎任何规模”运行。

　　以这种方式在容器中运行应用程序被称为容器化，并且与其他远程工作方式一样，由于COVID-19的流行，它得到了大力发展。研究人员指出：“近年来，我们看到越来越多的组织在云中使用容器，尤其是因为COVID-19大流行导致许多组织在寻求一种更快地移动和更有效地部署云工作payload的方式。”

第一个针对Windows Container的恶意软件

　　根据Zelivansky和Chiodi的说法，这是研究人员第一次看到针对Windows Container的恶意软件。他们说，云环境中的Linux操作系统已经非常流行。

　　Unit 42研究人员已经确定了23名Siloscape受害者，并表示有证据表明该活动已于一年多前发起。

　　Prizmant通过收集服务器的创建日期来确定该活动的开始日期，大约在2020年1月12日。但他也指出，这并不一定意味着Siloscape是在那个日期创建的，相反，这很可能是恶意软件活动开始的时候。

　　经过特别艰难的逆向工程，Prizmant能够连接到Siloscape命令和控制（C2）服务器，他发现该服务器总共托管了313个用户。他说，这意味着Siloscape是“更广泛的活动的一小部分”。

Siloscape如何逃逸

　　该恶意软件首先针对常见云应用程序（例如Web服务器）中的已知漏洞（“1-days”）进行攻击。这种初始访问可能是通过利用在野外发现的漏洞获得的。去年，Prizmant记录了一种打破Windows Container边界的方法。在2020年发表的一份报告中，他描述了如果攻击者从容器中逃离，他们会做什么。

　　他选择将重点放在当前的场景上：从Kubernetes中的Windows集群节点逃脱，这将允许攻击者获得节点外的访问权并扩散到集群中。

　　在入侵Web服务器后，Siloscape使用容器逃逸策略在Kubernetes节点上实现代码执行。Prizmant说，Siloscape大量使用混淆使得逆向工程变得很麻烦。“整个二进制文件中几乎没有可读的字符串。虽然混淆逻辑本身并不复杂，但它使得反转这个二进制文件变得非常艰难，”他解释说。

　　该恶意软件会混淆函数和模块名称（包括简单的API），并且仅在运行时对其进行反混淆。他说，Siloscape不是仅仅调用函数，而是“努力使用同一函数的原生API（NTAPI）版本”。“最终结果是恶意软件很难用静态分析工具检测到，并且让逆向工程也困难重重。”

　　“Siloscape使用一对唯一的密钥为每一次新的攻击进行编译，”Prizmant继续说道。“硬编码的密钥使每个二进制文件与其他二进制文件略有不同，这也就解释了为什么我在任何地方都找不到它的哈希值，因此也就无法仅通过哈希来检测Siloscape。”

Siloscape逃逸后会干什么

　　在Siloscape破坏节点后，恶意软件会四处寻找使其能够传播到Kubernetes集群中其他节点的凭据。然后，它使用IRC（一种旧协议）通过Tor匿名通信网络连接到其C2服务器，等待命令。

　　Prizmant采用了一个他认为在连接到C2服务器时看起来合法的用户名。成功连接后，他发现它仍在工作，那里有23个“活跃受害者”，以及一个名为admin的频道操作员。

　　不幸的是，大约2分钟后，他被踢出了服务器。两分钟后，服务器关闭了——至少，它在onion他曾经连接的原始域中不再处于活动状态。

　　但Siloscape恶意软件只是整个活动的一小部分。C2服务器上的活跃用户比他在#WindowsKubernetes频道中看到的要多得多——确切地说，总共有313个用户。然而，他无法识别、联系或警告他们中的任何一个。

　　“可悲的是，当我连接到服务器时，频道列表是空的，这表明服务器被配置为不显示其频道，”Prizmant写道。“因此，我无法从频道名称中获得更多信息。”

　　但研究人员确实设法收集到了一个重要的细节，即用于受害者姓名的约定。Unit 42研究人员使用“php_35”，它的Siloscape样本通过易受攻击的php实例执行。包含字符串“sqlinj”的其他名称表明攻击者可能设法通过SQL注入实现代码执行。

加密劫持、供应链中毒等的危险

　　Prizmant在2020年7月的帖子中表示，他的研究表明“在[Windows Server Containers]中运行任何代码，实际上都与在主机上运行admin一样危险。这些容器不是为沙盒设计的，并且我发现逃离它们很容易。”

　　他在周一的帖子中警告说，这可能使攻击者能够窃取关键凭据、机密和内部文件，甚至是集群中托管的整个数据库。如果攻击者将组织的文件作为要挟，它甚至可能导致勒索软件攻击。他说，更糟糕的是组织大规模迁移到云端所带来的威胁。他说，鉴于许多人正在使用Kubernetes集群来开发和测试代码，漏洞“可能导致毁灭性的软件供应链攻击”。

　　在周一的帖子中，他解释说，破坏整个集群比破坏单个容器要严重得多，因为“一个集群可以运行多个云应用程序，而单个容器通常运行单个云应用程序。”

　　他还指出，一方面，Siloscape与大多数云恶意软件不同，后者通常侧重于加密挖掘和DoS之类的资源劫持。另一方面，Siloscape“不会将自己局限在任何特定目标上，”Prizmant说。“相反，它为各种恶意活动打开了后门。”

最近的供应链与Kubernetes攻击

　　与Prizmant警告的相类似，供应链攻击已经与间谍软件安装、SignSight操作、Able Desktop的入侵、航空公司的漏洞以及其中最庞大的供应链：太阳风（SolarWinds）对美国政府的入侵密切相关。

　　最近的一些头条新闻也报道了Kubernetes的其他一些网络安全事故，包括2021年4月的安全漏洞， Kubernetes所使用的其中一个Go代码库中存在漏洞，该漏洞可能会导致CRI-O和Podman容器引擎的拒绝服务攻击。CRI-O和Podman都是容器引擎，类似于Docker，主要用于在云端执行操作和管理容器。CRI-O和Podman使用“containers/storage”来处理容器镜像的存储和下载。四月份早些时候，一场有组织的、自我传播的cryptomining活动被发现，其目标是配置错误的开放Docker Daemon API端口。

　　研究人员表示，同样在4月份，微软的云容器技术Azure Functions被发现存在一个漏洞，该漏洞允许攻击者直接写入文件。几个月前，也就是2021年2月，一种新的恶意软件正在劫持Kubernetes集群以对Monero进行加密。

　　云基础设施需要更高的安全性，另一个可以佐证的例子是，在最近的实验室测试中，一个简单的Docker容器蜜罐在24小时内被用于四次不同的犯罪活动。

云原生战略

　　企业数据安全公司Comforte AG的产品经理Trevor Morgan认为Siloscape是一种威胁，它会让企业对采用云计算感到紧张。“企业采用云原生战略是因为他们希望提高创新能力。不幸的是，大多数组织都在努力确保正确的数据安全级别，以避免损害云原生应用程序架构，”他周一通过电子邮件告诉Threatpost。

　　“像Siloscape这样的恶意软件通过攻击容器化的核心使这项工作复杂化，并在云原生开发工作方面致使大家产生犹豫。”他指出，“恶意软件威胁在灵活、谨慎以及安全处理敏感数据之间做出了错误的选择。”

　　Morgan建议，专门为云原生应用程序构建的以数据为中心的安全性，例如专门为云本地应用程序构建的标记化，通过保护数据本身而不是“围绕云本地应用程序环境的分层的、甚至是无定形的边界”，可以“帮助在这两者之间取得适当的平衡”。

　　“组织可以放心，数据安全不会妨碍速度和灵活性，因为即使在容器中的标记化敏感信息，如果落入犯罪分子之手也不会受到损害，”他说，“采用云原生策略的组织可以在实现效率的同时确保数据安全。”

应对策略

　　Prizmant建议用户遵循Microsoft的建议，不要将Windows容器用作安全功能。微软建议对依赖容器化作为安全边界的任何事物严格使用Hyper-V容器，他指出：“应假定在Windows Server容器中运行的任何进程都与主机上的admin具有相同的权限，在本例中就是Kubernetes节点。如果您在需要保护的Windows Server容器中运行应用程序，我们建议将这些应用程序移至Hyper-V容器。”

　　“Siloscape向我们展示了容器安全的重要性，正式因为存在容器逃逸，恶意软件才给我们造成了如此重大的损害，”他写道。“组织保持配置良好且安全的云环境以抵御此类威胁至关重要。”