Malware de conteneur Windows Cloud Kubernetes

Des chercheurs en sécurité ont découvert le premier malware connu, surnommé “Siloscope“, ciblant les conteneurs Windows Server pour infecter les clusters Kubernetes dans les environnements cloud.

« Siloscape est un logiciel malveillant fortement masqué ciblant les clusters Kubernetes via des conteneurs Windows » mentionné Le chercheur de l’Unité 42 Daniel Prizmant. “Son objectif principal est d’ouvrir une porte dérobée dans des clusters Kubernetes mal configurés afin d’exécuter des conteneurs malveillants tels que, mais sans s’y limiter, les cryptojackers.”

Équipes de débordement de pile

Siloscape, détecté pour la première fois en mars 2021, se caractérise par plusieurs techniques, notamment le ciblage d’applications cloud courantes telles que les serveurs Web pour s’implanter initialement via des vulnérabilités connues, après quoi il exploite les techniques d’échappement de conteneur Windows pour sortir des limites du conteneur et obtenir l’exécution de code à distance sur le nœud sous-jacent.

Un conteneur est un silo isolé et léger pour exécuter une application sur le système d’exploitation hôte. Le nom du malware — abréviation de silo escape — est dérivé de son objectif principal d’échapper au conteneur, dans ce cas, le silo. Pour y parvenir, Siloscape utilise une méthode appelée Thread Usurpation.

Logiciel malveillant Kubernetes

« Siloscape imite CExecSvc.exe privilèges en usurpant l’identité de son thread principal, puis appelle NtSetInformationSymbolicLink sur un lien symbolique nouvellement créé pour sortir du conteneur “, a déclaré Prizmant. ” Plus précisément, il lie son lecteur X conteneurisé local au lecteur C de l’hôte. “

Armé de ce privilège, le malware tente ensuite d’abuser des informations d’identification du nœud pour se propager à travers le cluster, avant d’établir anonymement une connexion à son serveur de commande et de contrôle (C2) à l’aide d’un proxy Tor pour obtenir d’autres instructions, notamment en profitant de l’informatique. ressources dans un cluster Kubernetes pour le cryptojacking et même l’exfiltration des données sensibles des applications s’exécutant dans les clusters compromis.

Empêcher les attaques de ransomware

Après avoir eu accès au serveur C2, l’unité 42 a déclaré avoir trouvé 23 victimes actives, le serveur hébergeant un total de 313 utilisateurs. La campagne aurait commencé au moins vers le 12 janvier 2020, sur la base de la date de création du serveur C2, suggérant que le malware pourrait n’être qu’une petite partie d’une campagne plus vaste qui a commencé il y a plus d’un an.

“Contrairement à la plupart des logiciels malveillants dans le cloud, qui se concentrent principalement sur le détournement de ressources et le déni de service (DoS), Siloscape ne se limite pas à un objectif spécifique”, a noté Prizmant. “Au lieu de cela, cela ouvre une porte dérobée à toutes sortes d’activités malveillantes.” En plus de la configuration sécurisée des clusters Kubernetes, il est également recommandé de déployer des conteneurs Hyper-V si la conteneurisation est utilisée comme forme de limite de sécurité.



Leave a Reply