Siloscape-Malware zielt auf Windows Container in Kubernetes-Clustern

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Palo Alto Networks schlagen Alarm, sind sie doch auf die Siloscape genannte Malware gestoßen. Die Malware versucht Windows-Container, die in Kubernetes-Clustern in der Cloud laufen, zu kompromittieren. Im Anschluss wird versucht, alle Container im Kubernetes-Cluster zu infiltieren. Während dies bisher nur für Linux bekannt war, ist jetzt auch eine Siloscape genannte Malware dabei, Windows-Systeme zu befallen.


Anzeige

Das Malware-Forschungsteam der Unit 42 von Palo Alto Networks veröffentlichte einen Untersuchungsbericht, der die erste bekannten Malware, die auf Windows-Container abzielt, beschreibt.

Was ist Kubernetes

Kubernetes ist ein Open-Source-System zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen, das ursprünglich von Google entworfen und an die Cloud Native Computing Foundation (CNCF)übergeben wurde. Kubernetes zielt darauf ab, eine „Plattform für das automatisierte Bespielen, Skalieren und Warten von Anwendungscontainern auf verteilten Hosts" zu liefern. Es unterstützt eine Reihe von Container-Tools, einschließlich Docker. Die Orchestrierung mittels Kubernetes wird von führenden Cloud-Plattformen wie Microsoft Azure, IBM Cloud, Red Hat OpenShift, Amazons EKS, Googles Kubernetes Engine und Oracles OCI unterstützt.

Die Siloscape-Malware

Die Forscher benannten die Malware Siloscape, weil deren primäres Ziel darin besteht, aus dem Container zu entkommen. Siloscape ist eine stark verschleierte Malware, die über Windows-Container auf Kubernetes-Cluster abzielt. Die Malware verwendet den Tor-Proxy und eine .onion-Domain, um sich anonym mit ihrem Command-and-Control-Server (C2) zu verbinden. Ihr Hauptziel ist es, eine Hintertür in schlecht konfigurierte Kubernetes-Cluster zu öffnen, um Container zu kompromittieren.

Die Kompromittierung eines ganzen Clusters ist viel schwerwiegender als die eines einzelnen Containers. Denn ein Kubernetes Cluster könnte mehrere Cloud-Anwendungen ausführen, während ein einzelner Container in der Regel nur eine einzige Cloud-Anwendung beinhaltet. Geleingt die Kompromittierung, könnte der Angreifer beispielsweise kritische Informationen wie Benutzernamen und Passwörter, vertrauliche Dateien eines Unternehmens oder sogar ganze Datenbanken, die im Cluster gehostet werden, stehlen.

Ein solcher Angriff könnte sogar als Ransomware-Angriff genutzt werden, indem die Dateien des Unternehmens verschlüsselt werden. Noch schlimmer ist, dass mit der Verlagerung in die Cloud viele Unternehmen Kubernetes-Cluster als Entwicklungs- und Testumgebungen nutzen. Eine Verletzung einer solchen Umgebung kann zu verheerenden Angriffen auf die Software-Lieferkette führen.

Zugang zum C&C-Server geknackt

Den Sicherheitsforschern von Unit 42 ist es gelungen, Zugang zum C&C-Server zu erhalten. Sie identifizierten 23 aktive Siloscape-Opfer und entdeckten, dass der Server für insgesamt 313 Benutzer verwendet wurde. Das deutet darauf hin, dass Siloscape ein kleiner Teil einer größeren Kampagne war. Außerdem fanden sie heraus, dass diese Kampagne seit mehr als einem Jahr läuft. Die Malware zeichnet sich durch mehrere Verhaltensweisen und Techniken aus:

  • Zielt für den Erstzugriff auf gängige Cloud-Anwendungen wie Webserver ab und nutzt dabei bekannte Schwachstellen („0-Days") – vermutlich solche, für die ein funktionierender Exploit in freier Wildbahn existiert.
  • Verwendet Windows-Container-Escape-Techniken, um dem Container zu entkommen und Code-Ausführung auf dem zugrundeliegenden Knoten zu erlangen.
  • Versucht, die Zugangsdaten des Knotens zu missbrauchen, um sich im Cluster zu verbreiten.
  • Verbindet sich mit seinem C2-Server mithilfe des IRC-Protokolls über das Tor-Netzwerk und wartet auf weitere Befehle.

Diese Malware kann die Rechenressourcen in einem Kubernetes-Cluster für Cryptojacking nutzen und potenziell sensible Daten von Hunderten von Anwendungen, die in den kompromittierten Clustern laufen, exfiltrieren.

Anders als die meiste Cloud-Malware, die sich überwiegend auf Ressourcen-Hijacking und Denial-of-Service (DoS) konzentriert, beschränkt sich Siloscape nicht auf ein bestimmtes Ziel. Stattdessen öffnet es eine Hintertür für alle Arten von bösartigen Aktivitäten.

Wie in einem früheren Beitrag von Unit 42 beschrieben, sollten Benutzer die Richtlinien von Microsoft befolgen und Windows-Container nicht als Sicherheitsfunktion verwenden. Microsoft empfiehlt, ausschließlich Hyper-V-Container für alles zu verwenden, was sich auf Containerisierung als Sicherheitsgrenze verlässt. Bei jedem Prozess, der in Windows Server-Containern ausgeführt wird,  sollte davon ausgegangen werden, dass er die gleichen Berechtigungen wie der Administrator auf  dem Host hat, der in diesem Fall der Kubernetes-Knoten ist. Wenn Unternehmen Anwendungen in Windows Server-Containern ausführen, die abgesichert werden müssen, empfiehlt Unit 42, diese Anwendungen in Hyper-V-Container zu verschieben.


Anzeige

Außerdem sollten Administratoren sicherstellen, dass ihr Kubernetes-Cluster sicher konfiguriert ist. Ein abgesicherter Kubernetes-Cluster ist nicht so anfällig für diese spezielle Malware, da die Berechtigungen der Knoten nicht ausreichen, um neue Bereitstellungen zu erstellen. In diesem Fall wird Siloscape beendet. Siloscape zeigt, wie wichtig die Sicherheit von Containern ist, da es ohne den Container-Ausbruch keinen nennenswerten Schaden anrichten könnte. Es ist wichtig, dass Unternehmen eine gut konfigurierte und gesicherte Cloud-Umgebung vorhalten, um sich vor solchen Bedrohungen zu schützen. Weitere Details lassen sich diesem Beitrag und diesem Bericht entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Azure, Cloud, Sicherheit, Windows abgelegt und mit Cloud, Malware, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.