《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 首款利用Windows Server容器攻陷云環(huán)境的惡意軟件現(xiàn)身

首款利用Windows Server容器攻陷云環(huán)境的惡意軟件現(xiàn)身

2021-06-09
來源:互聯(lián)網(wǎng)安全內(nèi)參

  研究員在今年3月初發(fā)現(xiàn)了這些攻擊,但攻擊應(yīng)該至少發(fā)生了一年之久的時(shí)間。

  Palo Alto Networks 公司的安全專家表示,發(fā)現(xiàn)了針對并逃逸 Windows Server 容器以感染受害者 Kubernetes 集群基礎(chǔ)設(shè)施的首款惡意軟件。

  研究人員表示在今年3月初發(fā)現(xiàn)了這些攻擊,但攻擊應(yīng)該至少發(fā)生了一年之久的時(shí)間。

  研究人員表示,攻擊者一直在掃描互聯(lián)網(wǎng)中的常見云應(yīng)用程序如 Web 服務(wù)器并部署老舊漏洞的 exploit,以在未修復(fù)應(yīng)用程序上站穩(wěn)腳跟。

  如該 web app 在 Windows Server 容器中運(yùn)行,則攻擊者會部署名為 “Siloscape” 的惡意軟件,通過此前記錄的 Windows 容器逃逸技術(shù)訪問底層操作系統(tǒng)。如該操作系統(tǒng)以 Kubernetes 節(jié)點(diǎn)方式運(yùn)行,則攻擊者提取并收集該節(jié)點(diǎn)的憑證,而研究員認(rèn)為這樣做是為了跳轉(zhuǎn)到公司的內(nèi)部 Kubernetes 基礎(chǔ)設(shè)施以部署具備惡意能力的新節(jié)點(diǎn)。

  微信圖片_20210609154829.jpg

  Siloscape 同時(shí)下載并安裝了 Tor 客戶端以聯(lián)系其命令和控制服務(wù)器并接受命令。研究員表示可以訪問該 C2 服務(wù)器,并在本文寫作期間,該攻擊者似乎感染了300多個(gè)系統(tǒng)。然而,截至目前,研究員尚未發(fā)現(xiàn)攻擊者發(fā)動的任意惡意活動。

  該公司的資深安全研究員 Daniel Prizmant指出,“其它攻擊容器的惡意軟件一般旨在劫持密幣,但 Siloscape 并不會主動執(zhí)行任何損害集群的動作,而是專注于不被檢測到和不被追蹤到,并在集群中打開后門?!?/p>

  Palo Alto 公司正在警告各企業(yè)采取行動,將應(yīng)用程序從 Windows 容器轉(zhuǎn)移到微軟新推出的 Hyper-V 可視化技術(shù),而甚至微軟也在推薦使用這種新技術(shù)而非老舊且安全程度更低的容器機(jī)制。

  Prizmant 表示,如不重視這一建議,重要的內(nèi)部系統(tǒng)就可能遭攻擊。雖然該攻擊者很可能以密幣挖掘牟利,但它同時(shí)能夠?qū)⒛承┐笮捅缓谄髽I(yè)的訪問權(quán)限出租給其它犯罪組織,如勒索軟件組織,獲取更大的收益。

  在企業(yè)從 Windows Server 容器遷移到 Hyper-V 之前,應(yīng)當(dāng)部署系統(tǒng)以檢測 Siloscape 攻擊。Palo Alto Networks 報(bào)告中提到了 Siloscape 攻擊的 IOCs。由于 Siloscape 還不是大規(guī)模的攻擊活動,因此目前該惡意軟件的某些工件難以追蹤,但在今天早些時(shí)候,vx-uderground 社區(qū)已發(fā)現(xiàn)并共享了某些文件。

  



微信圖片_20210517164139.jpg



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。