发现针对 windows 容器的新恶意软件 siloscape-凯发k8国际真人

8fb12a14ff401d1-4

安全研究人员描述了一种新形式的恶意软件,该恶意软件以 microsoft windows 容器为目标,以破坏 kubernetes 集群。该恶意软件被称为 ,旨在破坏 linux 平台上的容器。

windows 容器中的 kubernetes 集群在 linux 上运行,以帮助客户管理云服务。帕洛阿尔托网络的零日部门 unit 42表示,研究人员在 3 月份发现了 。

它之所以得名,是因为它专注于尝试破坏 windows 容器,然后通过服务器孤岛逃脱。威胁参与者通过 .onion 域访问命令和控制 (c2) 服务器。

在 c2 上,攻击者可以管理 siloscape,包括发送攻击命令和提取数据。`威胁攻击者正在瞄准 windows 容器中的漏洞来访问组织数据库和服务器。

攻击

如果恶意软件在系统上,它会显示为 cloudmalware.exe。并通过隔离攻击服务器。一旦 siloscape 获得访问权限,它将在容器节点上启动远程代码执行 (rce),利用 windows 容器的转义技术。例如,它会尝试模拟 cexecsvc.exe 以退出容器。

“siloscape 通过模拟其主线程来模仿 cexecsvc.exe 特权,然后在新创建的符号链接上调用 ntsetinformationsymboliclink 以脱离容器,” unit 42 指出。“更具体地说,它将其本地容器化 x 驱动器链接到主机的 c 驱动器。”

并非所有的逃逸尝试都成功,但如果恶意软件确实脱离了 windows 容器,它将尝试创建新容器,这些容器将使用恶意集群获取应用程序数据。它还可以加载加密矿工以使用系统资源。

恶意软件的创建者竭尽全力确保很难找到内容。它还使用两个密钥来解密用于 c2 服务器的密码。跟踪密钥几乎是不可能的,因为可能会为每次攻击创建唯一的密钥。

“硬编码的密钥使每个二进制文件与其他二进制文件略有不同,这就是为什么我在任何地方都找不到它的哈希值,”研究人员说。“这也使得仅通过哈希无法检测 siloscape。”

未经允许不得转载:凯发k8国际真人 » 发现针对 windows 容器的新恶意软件 siloscape

网站地图