惡意軟體Siloscape可在Kubernetes叢集中植入後門

面對層出不窮的惡意軟體和不絕於耳的網路安全攻擊事件，應該如何應對網路犯罪分子?答案很簡單，就從他們下手的地方開始管理。一般網路襲擊都是系統漏洞被利用導致的，為了減少系統漏洞，可以從原始碼安全檢測開始做起，降低應用軟體中的程式碼缺陷漏洞。

Palo Alto Networks網路安全研究人員披露了一種新惡意軟體的驚人細節，該惡意軟體會危害Windows容器以針對Kubernetes叢集，它被命名為Siloscape。Siloscape是第一個針對 Windows 容器的惡意軟體，它利用影響Web伺服器和資料庫的已知系統漏洞，最終目標是破壞Kubernetes節點和後門叢集。專注於將Linux作為管理雲環境和應用程式的首選作業系統。

什麼是Kubernetes叢集?

Kubernetes最初由Google開發，現由雲原生計算基金會來維護。Kubernetes是一個開源系統，用於在主機叢集上自動擴充套件、部署和管理容器化服務、工作負載和應用程式。它將應用容器組織成pods、節點(物理或虛擬機器)和叢集，由多個節點組成由主節點管理的叢集，主節點協調與叢集相關的任務，如伸縮或更新應用。

惡意軟體Siloscape

網路安全研究人員稱，該惡意軟體於2021年3月被發現，被命名為Siloscape是因為它旨在透過伺服器孤島來逃避 Windows容器。它使用Tor代理和 .onion 域與其C&C伺服器通訊。而且，惡意軟體使用者使用它來竊取資料、傳送命令和管理惡意軟體。

它是如何攻擊的?

該惡意軟體被標記為CloudMalware.exe。它沒有使用Hyper-V隔離，而是使用伺服器來定位Windows容器，並透過利用已知和未修補的漏洞發起網路安全攻擊，以獲得對網頁、伺服器和/或資料庫的初始訪問許可權。系統漏洞是攻擊的關鍵，若能做好原始碼安全檢測及時發現程式碼缺陷，或可透過減少系統漏洞從而避免遭受網路安全攻擊。

Siloscape使用各種Windows容器轉義技術(例如模擬容器映像服務CExecSvc.exe以獲取 SeTcbPrivilege許可權)在容器的底層節點上實現遠端程式碼執行。然後檢測受感染的節點以獲取允許惡意軟體傳播到Kubernetes 叢集中其他節點的憑據。

在感染的最後階段，Siloscape惡意軟體透過Tor匿名通訊網路的IRC與其命令控制(C2)伺服器建立通訊通道，並監聽來自操作者的傳入命令。

如果惡意軟體設法逃脫，它會建立惡意容器，從受感染叢集中執行/活動的應用程式竊取資料，或載入加密貨幣礦工以利用系統資源挖掘加密貨幣，併為惡意軟體運營商賺取利潤。

完美的就地混淆技術

惡意軟體Siloscape有很強的混淆技術，它的模組和函式只能在執行時進行反混淆處理。此外，為了隱藏其活動並使逆向工程變得複雜，它使用一對金鑰來解密C&C伺服器的密碼。每一次攻擊都會生成金鑰。硬編碼的金鑰使每個二進位制檔案都難以與其他二進位制檔案區別開。在任何地方找到其雜湊都變得具有挑戰性，因此無法僅透過雜湊來檢測惡意軟體。

受害者遭受勒索軟體，供應鏈攻擊

大多數針對雲環境的惡意軟體都專注於加密劫持(在受感染的裝置上秘密挖掘加密貨幣)和濫用受感染的系統發起DDoS攻擊，但Siloscape完全不同。首先，它透過避免任何可能向受威脅叢集的所有者發出攻擊警報的行為(包括加密劫持)，來儘量逃避檢測。它的目標是為Kubernetes叢集設定後門，這為其運營商濫用受損的雲基礎設施進行更廣泛的惡意活動提供基礎，包括竊取憑證、資料洩露、勒索軟體攻擊，甚至是災難性的供應鏈攻擊。

建議Kubernetes管理員從Windows容器切換到Hyper-V容器，並確保叢集是安全配置以防止像Siloscape這樣的惡意軟體部署新的惡意容器。

縱觀所有惡意軟體的攻擊方式，無非是利用了系統漏洞實施網路安全攻擊，從而影響應用程式及整個網路環境，因此降低系統漏洞數量可以直接減少網路受到攻擊的機會。系統漏洞大多是在開發階段由眾多程式碼缺陷造成的，在網路安全日益嚴峻的今天，在軟體開發早期實時進行 原始碼安全漏洞檢測並修復，可有效降低軟體在上線後產生安全漏洞的風險，規避網路安全攻擊帶來的負面影響。

參讀：woocoom.com/b021.html?id=66d979048b8541bd84658ce990863a04