Apelidado de Siloscape, o malware que ataca containers do WindowsServer para infectar cluster Kubernetes – conjunto de nodes que executam aplicativos em containers – em ambientes de nuvem, foi descoberto por pesquisadores de cybersegurança.
Para que se entenda um pouco melhor, os containers possibilitam empacotamento e execução de aplicativos Windows em diferentes ambientes, sendo eles locais ou em nuvem. Eles fornecem um ambiente leve e isolado, que torna os aplicativos mais fáceis de serem desenvolvidos, implantados e gerenciados.
O pesquisador da Unidade 42, Daniel Prizmant, explicou:
“O Siloscape é um malware fortemente ofuscado, que visa clusters do Kubernetes por meio de containers do Windows. Seu principal objetivo é abrir um backdoor em clusters Kubernetes mal configurados para executar containers maliciosos, como, mas não se limitando, a cryptojackers”.
O malware foi detectado pela primeira vez em março deste ano, e é caracterizado por várias técnicas. Uma delas é almejar aplicativos em nuvens comuns, como servidores da web, para obter uma posição inicial por meio de vulnerabilidades conhecidas. Após isso, ele aproveita as técnicas de escape de container do Windows para romper os limites do container e obter execução remota de código.
O nome do malware deriva do seu objetivo principal: escapar do container. O Siloscape usa um método chamado Thread Impersonation para atingir seu objetivo.
“O Siloscape imita os privilégios do CExecSvc.exe personificando seu thread principal. Em seguida, chama NtSetInformationSymbolicLink em um link simbólico recém criado para sair do container. Mais especificamente, ele vincula sua unidade X em container local à unidade C do host”.
O malware, tendo esse privilégio, tenta abusar das credenciais do node para se espalhar pelo cluster antes de estabelecer anonimamente uma conexão com seu servidor de comando e controle (C2) usando um proxy Tor para obter mais instruções. Incluindo tirar proveito dos recursos em um cluster Kubernetes para criptojacking e até mesmo extração de dados confidenciais de aplicativos em execução nos clusters comprometidos.
Após obter acesso ao servidor C2, a Unidade 42 disse ter encontrado 23 vítimas ativas, com o servidor hospedando um total de 313 usuários. A campanha começou pelo menos por volta de 12 de janeiro de 2020, com base na data de criação do servidor C2, sugerindo que o malware poderia ser apenas uma pequena parte de uma campanha maior que começou há mais de um ano.
“Ao contrário da maioria dos malwares em nuvem, que se concentram principalmente no sequestro de recursos e negação de serviço (DoS), o Siloscape não se limita a nenhum objetivo específico. Em vez disso, ele abre uma porta para todos os tipos de atividades maliciosas”, terminou Prizmant.
Para garantir a segurança, é recomendado configurar clusters Kubernetes com segurança, e implantar containers Hyper-V se a conteinerização for utilizada como um artifício de segurança.
Fonte: https://ostec.blog/noticias/siloscape/