Palo Alto Networks: Siloscape zielt auf Windows-Container ab
Malware zur Kompromittierung von Cloud-Umgebungen
Unit 42, das Malware-Forschungsteam von Palo Alto Networks, entdeckte eine Malware, die auf Windows-Container abzielt. Die Forscher benannten die Malware Siloscape, weil deren primäres Ziel darin besteht, aus dem Container zu entkommen, und in Windows lässt sich dies hauptsächlich durch ein Server-Silo realisieren. Siloscape ist eine stark verschleierte Malware, die über Windows-Container auf Kubernetes-Cluster abzielt, so die Forscher. Ihr Hauptziel sei es, eine Hintertür in schlecht konfigurierte Kubernetes-Cluster zu öffnen, um schädliche Container auszuführen.
Siloscape verwende den Tor-Proxy und eine .onion-Domain, um sich anonym mit ihrem Command-and-Control-Server (C2) zu verbinden. Den Forschern ist es laut eigenen Angaben gelungen, Zugang zu diesem Server zu erhalten. Sie identifizierten 23 aktive Siloscape-Opfer und entdeckten, dass der Server für insgesamt 313 Benutzende in Verwendung war, was darauf hindeuten soll, dass Siloscape ein kleiner Teil einer breiteren Kampagne war. Außerdem fanden sie heraus, dass diese Kampagne seit mehr als einem Jahr läuft. Die Malware ziele für den Erstzugriff auf gängige Cloud-Anwendungen wie Web-Server ab und nutze dabei bekannte Schwachstellen („1-Days“) – vermutlich solche, für die ein funktionierender Exploit in freier Wildbahn existiert. Außerdem verwende sie Windows-Container-Escape-Techniken, um dem Container zu entkommen und Code-Ausführung auf dem zugrundeliegenden Knoten zu erlangen. Zudem versuche die Malware, die Zugangsdaten des Knotens zu missbrauchen, um sich im Cluster zu verbreiten und verbinde sich mit seinem C2-Server mit Hilfe des IRC-Protokolls über das Tor-Netzwerk.
Diese Malware kann die Rechenressourcen in einem Kubernetes-Cluster für Cryptojacking nutzen und potenziell sensible Daten von Hunderten von Anwendungen, die in den kompromittierten Clustern laufen, exfiltrieren, so die Warnung.
Anders als die meiste Cloud-Malware, die sich überwiegend auf Ressourcen-Hijacking und Denial-of-Service (DoS) konzentriert, beschränke sich Siloscape nicht auf ein bestimmtes Ziel. Stattdessen öffne es eine Hintertür für alle Arten von bösartigen Aktivitäten.
Wie in einem früheren Beitrag von Unit 42 beschrieben, sollten Nutzende die Richtlinien von Microsoft befolgen und Windows-Container nicht als Sicherheitsfunktion verwenden. Microsoft empfiehlt, ausschließlich Hyper-V-Container für alles zu verwenden, was sich auf Containerisierung als Sicherheitsgrenze verlässt. Bei jedem Prozess, der in Windows-Server-Containern ausgeführt ist, sollte man davon ausgehen, dass er die gleichen Berechtigungen wie der Administrator auf dem Host hat, der in diesem Fall der Kubernetes-Knoten ist. Wenn Unternehmen Anwendungen in Windows-Server-Containern ausführen, die abgesichert sein müssen, empfiehlt Unit 42, diese Anwendungen in Hyper-V-Container zu verschieben.
Außerdem sollten Administratoren sicherstellen, dass ihr Kubernetes-Cluster sicher konfiguriert ist. Ein abgesicherter Kubernetes-Cluster ist nicht so anfällig für diese spezielle Malware, da die Berechtigungen der Knoten nicht ausreichen, um neue Bereitstellungen zu erstellen, so die Begründung der Forscher.
Lesen Sie mehr zum Thema
