Peneliti Menemukan Malware Pertama yang Menargetkan Wadah Windows

  • Whatsapp
Kubernetes cloud windows container malware

Peneliti keamanan telah menemukan malware pertama yang diketahui, dijuluki “Siloskop,” menargetkan container Windows Server untuk menginfeksi cluster Kubernetes di lingkungan cloud.

“Siloscape adalah malware yang sangat dikaburkan yang menargetkan kluster Kubernetes melalui wadah Windows,” berkata Peneliti unit 42 Daniel Prizmant. “Tujuan utamanya adalah untuk membuka backdoor ke dalam cluster Kubernetes yang dikonfigurasi dengan buruk untuk menjalankan wadah berbahaya seperti, tetapi tidak terbatas pada, cryptojackers.”

Bacaan Lainnya

Tim Stack Overflow

Siloscape, pertama kali terdeteksi pada Maret 2021, dicirikan oleh beberapa teknik, termasuk menargetkan aplikasi cloud umum seperti server web untuk mendapatkan pijakan awal melalui kerentanan yang diketahui, setelah itu memanfaatkan teknik pelarian kontainer Windows untuk keluar dari batas kontainer dan mendapatkan eksekusi kode jarak jauh pada node yang mendasarinya.

Sebuah wadah adalah terisolasi, silo ringan untuk menjalankan aplikasi pada sistem operasi host. Nama malware — kependekan dari silo escape — berasal dari tujuan utamanya untuk keluar dari container, dalam hal ini, silo. Untuk mencapai ini, Siloscape menggunakan metode yang disebut Peniruan Benang.

Malware Kubernetes

“Siloscape meniru CExecSvc.exe hak istimewa dengan meniru utas utamanya dan kemudian memanggil NtSetInformationSymbolicLink pada tautan simbolis yang baru dibuat untuk keluar dari penampung,” kata Prizmant. “Lebih khusus lagi, ini menautkan drive X kemas lokalnya ke drive C host.”

Berbekal hak istimewa ini, malware kemudian mencoba menyalahgunakan kredensial node untuk menyebar ke seluruh cluster, sebelum secara anonim membuat koneksi ke server command-and-control (C2) menggunakan proxy Tor untuk instruksi lebih lanjut, termasuk memanfaatkan komputasi. sumber daya di cluster Kubernetes untuk cryptojacking dan bahkan mengekstrak data sensitif dari aplikasi yang berjalan di cluster yang disusupi.

Manajemen Kata Sandi Perusahaan

Setelah mendapatkan akses ke server C2, Unit 42 mengatakan menemukan 23 korban aktif, dengan server hosting total 313 pengguna. Kampanye tersebut dikatakan telah dimulai setidaknya sekitar 12 Januari 2020, berdasarkan tanggal pembuatan server C2, menunjukkan bahwa malware itu bisa saja menjadi bagian kecil dari kampanye yang lebih besar yang dimulai lebih dari setahun yang lalu.

“Tidak seperti kebanyakan malware cloud, yang sebagian besar berfokus pada pembajakan sumber daya dan penolakan layanan (DoS), Siloscape tidak membatasi diri pada tujuan tertentu,” kata Prizmant. “Sebaliknya, itu membuka pintu belakang untuk semua jenis aktivitas jahat.” Selain mengonfigurasi cluster Kubernetes dengan aman, juga disarankan untuk menggunakan container Hyper-V jika containerization digunakan sebagai bentuk batas keamanan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *