Cercetătorii de securitate de la Unit 42 au descoperit primul malware cunoscut, supranumit „Siloscape”, care vizează containerele Windows Server pentru a infecta clusterele Kubernetes în medii cloud.

„Siloscape este un malware foarte puternic care vizează clusterele Kubernetes prin containerele Windows”, a declarat Daniel Prizmant, cercetător în cadrul Unit 42. „Scopul său principal este de a deschide un backdoor în clustere Kubernetes slab configurate pentru a rula containere rău intenționate, cum ar fi, dar fără a se limita la, criptojackeri.”

Siloscape, detectat pentru prima dată în martie 2021, se caracterizează prin mai multe tehnici, inclusiv direcționarea aplicațiilor cloud obișnuite, cum ar fi serverele web, pentru a obține un punct de sprijin inițial prin vulnerabilități cunoscute, în urma cărora utilizează tehnicile de evacuare a containerelor Windows pentru a ieși din limitele containerului și obține executarea codului de la distanță pe nodul subiacent.

Un container este un siloz izolat, de mici dimensiuni folosit pentru a rula o aplicație pe sistemul de operare gazdă. Numele malware-ului – prescurtare pentru „evadarea silozului” – este derivat din obiectivul său principal de a scăpa de container, în acest caz, silozul. Pentru a realiza acest lucru, Siloscape folosește o metodă numită Thread Impersonation.„Siloscape imită privilegiile CExecSvc.exe prin imitarea thread-ului său principal și apoi apelează NtSetInformationSymbolicLink pe o legătură simbolică nou creată pentru a ieși din container”, a spus Prizmant. „Mai precis, conectează unitatea X locală containerizată la unitatea C a gazdei.”

Înarmat cu acest privilegiu, malware-ul încearcă apoi să abuzeze de credențialele nodului pentru a se răspândi în cluster, înainte de a stabili în mod anonim o conexiune la serverul său de comandă și control (C2) utilizând un proxy Tor pentru instrucțiuni suplimentare, inclusiv pentru a profita de resursele de calcul într-un cluster Kubernetes pentru criptojacking și chiar exfiltrarea datelor sensibile din aplicațiile care rulează în clusterele compromise.

După ce a obținut acces la serverul C2, Unit 42 a declarat că a găsit 23 de victime active, serverul găzduind în total 313 de utilizatori. Se estimează că această campanie a început cel puțin în jurul datei de 12 ianuarie 2020, pe baza datei de creare a serverului C2, sugerând că malware-ul ar putea fi doar o mică parte a unei campanii mai mari care a început acum un an.

„Spre deosebire de majoritatea malware-ului cloud, care se concentrează în principal pe deturnarea resurselor și Denial of Service (DoS), Siloscape nu se limitează la niciun obiectiv specific”, a remarcat Prizmant. „În schimb, acesta deschide un backdoor către tot felul de activități rău intenționate.” În plus față de configurarea în siguranță a clusterelor Kubernetes, se recomandă, de asemenea, să implementați containere Hyper-V dacă containerizarea este utilizată ca formă a limitei de securitate.

Sursa: The Hacker News