发现针对 Windows 容器的新恶意软件 Siloscape

8fb12a14ff401d1-4

安全研究人员描述了一种新形式的恶意软件,该恶意软件以 Microsoft Windows 容器为目标,以破坏 Kubernetes 集群。该恶意软件被称为 Siloscape,旨在破坏 Linux 平台上的容器。

Windows 容器中的 Kubernetes 集群在 Linux 上运行,以帮助客户管理云服务。帕洛阿尔托网络的零日部门 Unit 42表示,研究人员在 3 月份发现了 Siloscape

它之所以得名,是因为它专注于尝试破坏 Windows 容器,然后通过服务器孤岛逃脱。威胁参与者通过 .onion 域访问命令和控制 (C2) 服务器。

在 C2 上,攻击者可以管理 Siloscape,包括发送攻击命令和提取数据。`威胁攻击者正在瞄准 Windows 容器中的漏洞来访问组织数据库和服务器。

攻击

如果恶意软件在系统上,它会显示为 CloudMalware.exe。并通过隔离攻击服务器。一旦 Siloscape 获得访问权限,它将在容器节点上启动远程代码执行 (RCE),利用 Windows 容器的转义技术。例如,它会尝试模拟 CExecSvc.exe 以退出容器。

“Siloscape 通过模拟其主线程来模仿 CExecSvc.exe 特权,然后在新创建的符号链接上调用 NtSetInformationSymbolicLink 以脱离容器,” Unit 42 指出。“更具体地说,它将其本地容器化 X 驱动器链接到主机的 C 驱动器。”

并非所有的逃逸尝试都成功,但如果恶意软件确实脱离了 Windows 容器,它将尝试创建新容器,这些容器将使用恶意集群获取应用程序数据。它还可以加载加密矿工以使用系统资源。

恶意软件的创建者竭尽全力确保很难找到内容。它还使用两个密钥来解密用于 C2 服务器的密码。跟踪密钥几乎是不可能的,因为可能会为每次攻击创建唯一的密钥。

“硬编码的密钥使每个二进制文件与其他二进制文件略有不同,这就是为什么我在任何地方都找不到它的哈希值,”研究人员说。“这也使得仅通过哈希无法检测 Siloscape。”

未经允许不得转载:表盘吧 » 发现针对 Windows 容器的新恶意软件 Siloscape