Os pesquisadores de segurança cibernética da Unit42 da Palo Alto Networks descobriram recentemente um novo malware conhecido como “Siloscape”, que usa contêineres do Windows para acessar clusters do Kubernetes. O malware está na ativa há mais de um ano e tem feito muitas vítimas.

Contêineres do Windows são considerados incomuns, já que a maioria dos ataques se concentram em ambiente rodando o Linux.

Para se conectar ao servidor C2 (C&C), que é utilizado pelos atacantes para controlar o Siloscape, a filtragem de dados e dos comandos ocorre por meio da rede Tor e de um domínio .onion.

Visão geral técnica

Por meio do isolamento do servidor e de vulnerabilidades não corrigidas, o Cloudmalware.exe é o malware com foco em contêineres do Windows. Utilizando diferentes técnicas de breakout (scape) para contêineres do Windows, o Siloscape tenta executar o RCE (Remote Code Execution) em um node do contêiner.

Para roubar dados dos aplicativos em execução no cluster, dentre outras ações, o Siloscape criará contêineres maliciosos, mas essas ações serão possíveis somente quando ele conseguir executar o breakout e se estabelecer em um cluster com sucesso.

Comportamentos e técnicas utilizadas

  • Explorando vulnerabilidades conhecidas, ele visa os aplicativos de nuvem comuns para acesso inicial, como os servidores web;
  • Para conseguir executar o código malicioso no node e “enganar” o contêiner, ele usa técnicas de scape (breakout) do contêiner do Windows;
  • Para tomar conta do cluster, ele abusa das credenciais do node;
  • Através da rede Tor e usando o protocolo IRC, ele se conecta ao servidor C2;
  • Aguarda por mais comandos.

Durante as investigações, os pesquisadores da Unit42 identificaram “23 vítimas ativas e um total de 313 vítimas no ano passado”.

No entanto, os pesquisadores foram expulsos do servidor após os atacantes saberem de sua presença, e não apenas isso, mesmo após terem o conhecimento de sua presença, também derrubaram o serviço que rodava no endereço .onion.

O que mais o malware faz?

Inicialmente, o Siloscape evita a detecção e depois instala uma backdoor no sistema infectado para acesso ao gateway e explorar a infraestrutura de nuvem para realizar atividades maliciosas como:

  • Roubo de credenciais
  • Roubo de dados pessoais
  • Ataques de ransomware
  • Ataques à cadeia de suprimentos (supply chain)

Além disso, o Siloscape tem uma visão diferente em comparação com outros malwares, já que os malwares que têm como foco os ambientes de nuvem são projetados para realizar ataques DDoS e minerar criptomoedas.

Fonte:

https://gbhackers.com/siloscape-first-known-malware-targeting-windows-containers/

Fonte da imagem usada na capa do post:

https://digitalvarys.com/create-docker-windows-containers-from-docker-desktop/

Viu essa? Falha de 7 anos atrás no Linux permite que usuários comuns “virem” root!

https://www.oanalista.com.br/2021/06/12/linux-falha-de-7-anos-atras-deixa-usuarios-comuns-virarem-root/

What's your reaction?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
O Analista
Adoro letras verdes sob um fundo preto...

You may also like

More in:Security