Siloscape Malware

Siloscape er en usædvanlig malware, der sigter mod at nå Kubernetes-klynger. Normalt fokuserer denne type trussel på Linux-systemer, da det er det mest anvendte OS (operativsystem), når det kommer til styring af sky-apps og miljøer. Siloscape er dog den første observerede malware-trussel, der er specielt oprettet for at kompromittere Windows-containere. Trusselsaktøren vil derefter forsøge at etablere en bagdør i Kubernetes-klynger, der ikke er konfigureret korrekt med det formål at køre ondsindede containere.

Siloscape Malware-funktionalitet

Siloscape spredes i form af en fil ved navn 'CloudMalware.exe.' Truslen udnytter kendte sårbarheder for at få uautoriseret adgang til servere, websider og databaser. Ifølge infosec-forskerne ved Palo Alto Networks 'Unit 42, der analyserede malware, læner Siloscape sig mod at bruge Server snarere end Hyper-V-isolation. Når den er etableret på det kompromitterede system, vil truslen starte forskellige Windows-containerudslipsteknikker for at etablere fjernkodekørsel (RCE) på den underliggende node i en container. En sådan metode ser Siloscape antage identiteten af SExecSvc.exe-containerbilledtjenesten, som gør det muligt for malware at modtage SeTcbPrivilege-rettigheder.

I sidste ende, hvis Siloscape er en succes, vil den være i stand til at oprette ondsindede containere, høste data fra applikationer, der er aktive i brud på klyngen, eller implementere en cryptominer, der kaprer systemets hardwarressourcer for skjult at generere mønter fra en valgt kryptovaluta.

Øget fokus på stealth

Siloscape er stærkt tilsløret for at undgå afsløring ved hjælp af sikkerhedsmæssige forholdsregler og hindre reverse engineering-forsøg. Trusselens funktioner og modulnavne fjernes kun ved kørsel, mens adgangskoden til Command-and-Control (C2, C&C) serveren dekrypteres med et par hardkodede nøgler. Faktisk bruger hver Siloscape-instans et andet par nøgler, hvilket gør det lige så forskelligt fra de andre trusselbinarier.

At nå sin C2-server, SIloscape er afhængig af Tor-proxy og et '.onion' domæne. Enhed 42-forskere var i stand til at få adgang til operationens server og formåede at identificere 23 aktive ofre med i alt 313 ofre. Hackerne bemærkede tilstedeværelsen udefra inden for få minutter og gjorde hurtigt tjenesten på den .onion-adresse inaktiv.