container

Descoberto malware que ataca contêiner de Windows

O pesquisador de segurança Daniel Prizmant, que trabalha para a Palo Alto Netwrks, publicou hoje um relatório mostrando detalhes do primeiro malware que ataca contêineres baseados em Windows. A descoberta aconteceu em março deste ano mas só agora o relatório ficou pronto. O malware foi batizado de Siloscape pelo pesquisador (soa como escape de silo) porque seu objetivo principal é criar um escape no contêiner. Em outras palavras, abrir um backdoor em clusters do Kubernetes mal configurados para executar contêineres maliciosos.

Segundo o pesquisador, o Siloscape usa o proxy Tor e um domínio “.onion” para se conectar anonimamente ao seu servidor de comando e controle (C2). Ele conseguiu obter acesso a esse servidor e ali identificou 23 vítimas ainda “ativas” do Siloscape. O servidor estava sendo usado para hospedar no total 313 usuários, sugerindo que o Siloscape era uma pequena parte de uma campanha mais ampla. Ele também descobriu que essa campanha já acontece há mais de um ano.

Veja isso
Malware rouba credenciais AWS, ataca Docker e Kubernetes
Kubernetes comprometidos em quase 50.000 IPs

Prizmant explica as consequências de comprometimento de um cluster: “Comprometer um cluster inteiro é muito mais grave do que comprometer um contêiner individual, pois um cluster pode executar vários aplicativos em nuvem, enquanto um contêiner individual geralmente executa um único aplicativo em nuvem. Por exemplo, o invasor pode ser capaz de roubar informações críticas, como nomes de usuário e senhas, arquivos confidenciais e internos de uma organização ou até mesmo bancos de dados inteiros hospedados no cluster. Esse tipo de ataque pode até ser aproveitado como um ataque de ransomware, tornando os arquivos da organização como reféns. Pior ainda, com as organizações migrando para a nuvem, muitas usam clusters Kubernetes como seus ambientes de desenvolvimento e teste, e uma violação desse ambiente pode levar a ataques devastadores à cadeia de suprimentos de software”.

O malware é caracterizado por vários comportamentos e técnicas:

  • Visa aplicativos de nuvem comuns, como servidores da web para acesso inicial, usando vulnerabilidades conhecidas – presumivelmente aquelas que têm um exploit em funcionamento.
  • Usa técnicas de escape de contêiner do Windows para escapar do contêiner e obter a execução de código no nó subjacente.
  • Tenta abusar das credenciais do nó para se espalhar no cluster.
  • Conecta-se ao servidor C2 usando o protocolo IRC na rede Tor.
  • Espera por mais comandos.
  • Este malware pode aproveitar os recursos de computação em um cluster Kubernetes para criptojacking e potencialmente exfiltrar dados confidenciais de centenas de aplicativos em execução nos clusters comprometidos.

Com agências de notícias internacionais