Technológia

A Siloscape kártékony programok kockázatot jelentenek a Windows konténerekre, a Kubernetesre

Egy újonnan azonosított rosszindulatú, amelyet az először észlelő fenyegetéskutató Siloscape-nek nevezett, úgy tűnik, hogy ez az első rögzített kártevő Windows konténerek, és potenciális kockázatot jelent a rosszul konfigurált vállalati felhők számára.

Felfedezte: Daniel Prizmant of Palo Alto 42. egysége kutatási egység 2021 márciusában, a Siloscape egy elhomályosított kártevő, amely a Windows konténereket célozza meg, és onnan próbál megkísérelni egy hátsó ajtót rosszul konfigurált Kubernetes-klaszterek ahol rosszindulatú konténerek futnak.

Prizmant szerint a Windows konténerekre irányuló rosszindulatú programok megjelenése nem meglepő, tekintettel az elmúlt évek felhőalapú elterjedésére. Siloscape-nek nevezte el, mert elsődleges célja a konténer elől való menekülés, amelyet a Windows-ban főleg egy szerver siló valósít meg.

Azt mondta, hogy egy teljes Kubernetes-fürt kompromittálása sokkal károsabb volt, mint egyetlen tároló, mivel több felhőalkalmazást képes futtatni, míg egy konténer általában csak egyet futtat.

„A támadó képes lehet olyan kritikus információk ellopására, mint a felhasználónevek és jelszavak, a szervezet bizalmas és belső fájljai, vagy akár a fürtben tárolt teljes adatbázisok. Egy ilyen támadást akár ransomware-támadásként is fel lehet használni, ha túszul ejtik a szervezet aktáit. ”- mondta Prizmant egy újonnan közzétett nyilvánosságra hozási blogban.

“Még rosszabb, hogy a felhőbe költöző szervezetek sokan a Kubernetes-fürtöket használják fejlesztési és tesztelési környezetükként, és egy ilyen környezet megsértése pusztító szoftver-ellátási lánc támadásokhoz vezethet.”

A rosszindulatú program így működik: először megcélozza a közönséges felhőalkalmazásokat, például a webszervereket, és ismert sérülékenységeken keresztül éri el őket, a Windows konténer menekülési technikával menekül onnan, hogy kódot futtasson az alapul szolgáló csomóponton, majd megpróbálja visszaélni a csomópont hitelesítő adatait tovább a Kubernetes-fürtön keresztül.

Ezután a Tor proxy és egy .onion domaint, amellyel visszakapcsolódhat parancs és irányítás (C2) szerver további parancsok fogadására. Kutatása során Prizmant hozzáférést kapott ehhez a szerverhez is, ahol ő és a 42-es egység csapata 23 aktív áldozat bizonyítékára bukkant, és megállapította, hogy a szerver összesen 313 felhasználót látott vendégül, ami arra utalhat, hogy a Siloscape csak egyként működik egy sokkal szélesebb körű, hosszú ideje tartó kibertámadások kampányának eleme.

Prizmant először bölcs lett a Siloscape által kihasznált technikákhoz, taktikákhoz és eljárásokhoz (TTP) tavaly, amikor egy kutatási cikkben bemutatta a Kubernetesben található Windows konténer csomópontból való menekülés technikáját.

Először azt mondta, a Microsoft szerint ez a probléma nem jelent problémát, mert a Windows Server tárolók nem biztonsági határok – ergo minden ilyen tárolóban futó alkalmazást úgy kell kezelni, mintha közvetlenül a gazdagépen futtatnák.

De miután eljuttatta a problémát a Google-hez, és némi oda-vissza követést követett a kettő között, a Microsoft megváltoztatta a tapintást, és azt mondta, hogy a Windows-tárolóból a Kubernetes-fürtbe menekülés – ha a tároló belsejében adminisztrátori jogok nélkül hajtják végre – valóban sebezhetőség. Innentől kezdve rövid ugrás volt a Siloscape felfedezéséhez – mondta.

Prizmant megismételte, hogy a legtöbb felhőből származó kártevővel ellentétben, amelyek csak olyan tevékenységekre korlátozódnak, mint az erőforrás-eltérítés vagy a szolgáltatás megtagadása (DoS), a Siloscape-et különösen veszélyesnek kell tekinteni, mert nem korlátozódik konkrét célokra, és sok más típusú támadásra is felhasználható.

– Ahogy arról az én utolsó cikk, a felhasználóknak követniük kell a Microsoft útmutatásait, amelyek azt javasolják, hogy ne használják a Windows-tárolókat biztonsági funkcióként. A Microsoft azt ajánlja, hogy szigorúan Hyper-V konténereket használjon minden olyan dologhoz, amely biztonsági határként a konténerezésre támaszkodik ”- mondta.

„Feltételezzük, hogy a Windows Server tárolókban futó folyamatok mindegyike ugyanazokkal a jogosultságokkal rendelkezik, mint a rendszergazda, amely ebben az esetben a Kubernetes csomópont. Ha olyan alkalmazásokat futtat Windows Server tárolókban, amelyeket biztonságban kell tartani, javasoljuk, hogy ezeket az alkalmazásokat helyezze át Hyper-V tárolókba.

„Ezenkívül a rendszergazdáknak meg kell győződniük arról, hogy Kubernetes-fürtjük biztonságosan van-e konfigurálva. Különösen egy biztonságos Kubernetes-fürt nem lesz annyira kiszolgáltatott ennek a specifikus kártevőnek, mivel a csomópontok jogosultságai nem elegendőek új telepítések létrehozásához. Ebben az esetben a Siloscape kilép ”- tette hozzá.

Részletesebb műszaki információk, ideértve a kompromisszum mutatóit (IoC), megtalálható a Unit 42 blogon.