Os pesquisadores de segurança cibernética da Unit42 da Palo Alto Networks descobriram recentemente um novo malware conhecido como “Siloscape”, que usa contêineres do Windows para acessar clusters do Kubernetes. O malware está na ativa há mais de um ano e tem feito muitas vítimas.
Contêineres do Windows são considerados incomuns, já que a maioria dos ataques se concentram em ambiente rodando o Linux.
Para se conectar ao servidor C2 (C&C), que é utilizado pelos atacantes para controlar o Siloscape, a filtragem de dados e dos comandos ocorre por meio da rede Tor e de um domínio .onion.
Visão geral técnica
Por meio do isolamento do servidor e de vulnerabilidades não corrigidas, o Cloudmalware.exe é o malware com foco em contêineres do Windows. Utilizando diferentes técnicas de breakout (scape) para contêineres do Windows, o Siloscape tenta executar o RCE (Remote Code Execution) em um node do contêiner.
Para roubar dados dos aplicativos em execução no cluster, dentre outras ações, o Siloscape criará contêineres maliciosos, mas essas ações serão possíveis somente quando ele conseguir executar o breakout e se estabelecer em um cluster com sucesso.
Comportamentos e técnicas utilizadas
- Explorando vulnerabilidades conhecidas, ele visa os aplicativos de nuvem comuns para acesso inicial, como os servidores web;
- Para conseguir executar o código malicioso no node e “enganar” o contêiner, ele usa técnicas de scape (breakout) do contêiner do Windows;
- Para tomar conta do cluster, ele abusa das credenciais do node;
- Através da rede Tor e usando o protocolo IRC, ele se conecta ao servidor C2;
- Aguarda por mais comandos.
Durante as investigações, os pesquisadores da Unit42 identificaram “23 vítimas ativas e um total de 313 vítimas no ano passado”.
No entanto, os pesquisadores foram expulsos do servidor após os atacantes saberem de sua presença, e não apenas isso, mesmo após terem o conhecimento de sua presença, também derrubaram o serviço que rodava no endereço .onion.
O que mais o malware faz?
Inicialmente, o Siloscape evita a detecção e depois instala uma backdoor no sistema infectado para acesso ao gateway e explorar a infraestrutura de nuvem para realizar atividades maliciosas como:
- Roubo de credenciais
- Roubo de dados pessoais
- Ataques de ransomware
- Ataques à cadeia de suprimentos (supply chain)
Além disso, o Siloscape tem uma visão diferente em comparação com outros malwares, já que os malwares que têm como foco os ambientes de nuvem são projetados para realizar ataques DDoS e minerar criptomoedas.
Fonte:
https://gbhackers.com/siloscape-first-known-malware-targeting-windows-containers/
Fonte da imagem usada na capa do post:
https://digitalvarys.com/create-docker-windows-containers-from-docker-desktop/
Viu essa? Falha de 7 anos atrás no Linux permite que usuários comuns “virem” root!