面對層出不窮的惡意軟件和不絕于耳的網(wǎng)絡(luò)安全攻擊事件,應(yīng)該如何應(yīng)對網(wǎng)絡(luò)犯罪分子?答案很簡單��,就從他們下手的地方開始管理����。一般網(wǎng)絡(luò)襲擊都是系統(tǒng)漏洞被利用導(dǎo)致的,為了減少系統(tǒng)漏洞��,可以從源代碼安全檢測開始做起���,降低應(yīng)用軟件中的代碼缺陷漏洞���。
Palo Alto Networks網(wǎng)絡(luò)安全研究人員披露了一種新惡意軟件的驚人細(xì)節(jié),該惡意軟件會危害Windows容器以針對Kubernetes集群�,它被命名為Siloscape。Siloscape是第一個針對 Windows 容器的惡意軟件���,它利用影響Web服務(wù)器和數(shù)據(jù)庫的已知系統(tǒng)漏洞��,最終目標(biāo)是破壞Kubernetes節(jié)點(diǎn)和后門集群��。專注于將Linux作為管理云環(huán)境和應(yīng)用程序的首選操作系統(tǒng)�����。
什么是Kubernetes集群?
Kubernetes最初由Google開發(fā)�,現(xiàn)由云原生計(jì)算基金會來維護(hù)��。Kubernetes是一個開源系統(tǒng)���,用于在主機(jī)集群上自動擴(kuò)展��、部署和管理容器化服務(wù)��、工作負(fù)載和應(yīng)用程序���。它將應(yīng)用容器組織成pods、節(jié)點(diǎn)(物理或虛擬機(jī))和集群����,由多個節(jié)點(diǎn)組成由主節(jié)點(diǎn)管理的集群���,主節(jié)點(diǎn)協(xié)調(diào)與集群相關(guān)的任務(wù),如伸縮或更新應(yīng)用���。
惡意軟件Siloscape
網(wǎng)絡(luò)安全研究人員稱����,該惡意軟件于2021年3月被發(fā)現(xiàn)�����,被命名為Siloscape是因?yàn)樗荚谕ㄟ^服務(wù)器孤島來逃避 Windows容器��。它使用Tor代理和 .onion 域與其C&C服務(wù)器通信��。而且��,惡意軟件使用者使用它來竊取數(shù)據(jù)���、發(fā)送命令和管理惡意軟件����。
它是如何攻擊的?
該惡意軟件被標(biāo)記為CloudMalware.exe。它沒有使用Hyper-V隔離��,而是使用服務(wù)器來定位Windows容器�,并通過利用已知和未修補(bǔ)的漏洞發(fā)起網(wǎng)絡(luò)安全攻擊����,以獲得對網(wǎng)頁、服務(wù)器和/或數(shù)據(jù)庫的初始訪問權(quán)限�。系統(tǒng)漏洞是攻擊的關(guān)鍵,若能做好源代碼安全檢測及時發(fā)現(xiàn)代碼缺陷�,或可通過減少系統(tǒng)漏洞從而避免遭受網(wǎng)絡(luò)安全攻擊。
Siloscape使用各種Windows容器轉(zhuǎn)義技術(shù)(例如模擬容器映像服務(wù)CExecSvc.exe以獲取 SeTcbPrivilege權(quán)限)在容器的底層節(jié)點(diǎn)上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行����。然后檢測受感染的節(jié)點(diǎn)以獲取允許惡意軟件傳播到Kubernetes 集群中其他節(jié)點(diǎn)的憑據(jù)。
在感染的最后階段����,Siloscape惡意軟件通過Tor匿名通信網(wǎng)絡(luò)的IRC與其命令控制(C2)服務(wù)器建立通信通道,并監(jiān)聽來自操作者的傳入命令�。
如果惡意軟件設(shè)法逃脫,它會創(chuàng)建惡意容器�����,從受感染集群中運(yùn)行/活動的應(yīng)用程序竊取數(shù)據(jù),或加載加密貨幣礦工以利用系統(tǒng)資源挖掘加密貨幣�����,并為惡意軟件運(yùn)營商賺取利潤�����。
完美的就地混淆技術(shù)
惡意軟件Siloscape有很強(qiáng)的混淆技術(shù)�����,它的模塊和函數(shù)只能在運(yùn)行時進(jìn)行反混淆處理���。此外�����,為了隱藏其活動并使逆向工程變得復(fù)雜�,它使用一對密鑰來解密C&C服務(wù)器的密碼���。每一次攻擊都會生成密鑰���。硬編碼的密鑰使每個二進(jìn)制文件都難以與其他二進(jìn)制文件區(qū)別開����。在任何地方找到其散列都變得具有挑戰(zhàn)性�,因此無法僅通過散列來檢測惡意軟件。
受害者遭受勒索軟件���,供應(yīng)鏈攻擊
大多數(shù)針對云環(huán)境的惡意軟件都專注于加密劫持(在受感染的設(shè)備上秘密挖掘加密貨幣)和濫用受感染的系統(tǒng)發(fā)起DDoS攻擊,但Siloscape完全不同����。首先,它通過避免任何可能向受威脅集群的所有者發(fā)出攻擊警報的行為(包括加密劫持)�,來盡量逃避檢測。它的目標(biāo)是為Kubernetes集群設(shè)置后門����,這為其運(yùn)營商濫用受損的云基礎(chǔ)設(shè)施進(jìn)行更廣泛的惡意活動提供基礎(chǔ),包括竊取憑證���、數(shù)據(jù)泄露�、勒索軟件攻擊��,甚至是災(zāi)難性的供應(yīng)鏈攻擊�。
建議Kubernetes管理員從Windows容器切換到Hyper-V容器��,并確保集群是安全配置以防止像Siloscape這樣的惡意軟件部署新的惡意容器����。
縱觀所有惡意軟件的攻擊方式��,無非是利用了系統(tǒng)漏洞實(shí)施網(wǎng)絡(luò)安全攻擊���,從而影響應(yīng)用程序及整個網(wǎng)絡(luò)環(huán)境�����,因此降低系統(tǒng)漏洞數(shù)量可以直接減少網(wǎng)絡(luò)受到攻擊的機(jī)會���。系統(tǒng)漏洞大多是在開發(fā)階段由眾多代碼缺陷造成的,在網(wǎng)絡(luò)安全日益嚴(yán)峻的今天����,在軟件開發(fā)早期實(shí)時進(jìn)行源代碼安全漏洞檢測并修復(fù),可有效降低軟件在上線后產(chǎn)生安全漏洞的風(fēng)險�,規(guī)避網(wǎng)絡(luò)安全攻擊帶來的負(fù)面影響。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
