Siloscape Malware
Siloscape एक असामान्य मैलवेयर है जिसका लक्ष्य Kubernetes क्लस्टर तक पहुंचना है। आमतौर पर, इस प्रकार का खतरा लिनक्स सिस्टम पर केंद्रित होता है क्योंकि जब क्लाउड ऐप्स और वातावरण के प्रबंधन की बात आती है तो यह सबसे व्यापक रूप से उपयोग किया जाने वाला ओएस (ऑपरेटिंग सिस्टम) होता है। हालाँकि, Siloscape पहला देखा गया मैलवेयर खतरा है जो विशेष रूप से Windows कंटेनरों से समझौता करने के लिए बनाया गया है। तब खतरा अभिनेता कुबेरनेट्स समूहों में एक पिछले दरवाजे को स्थापित करने का प्रयास करेगा जो दुर्भावनापूर्ण कंटेनरों को चलाने के लक्ष्य के साथ उचित रूप से कॉन्फ़िगर नहीं किया गया है।
Siloscape मैलवेयर कार्यक्षमता
Siloscape 'CloudMalware.exe' नाम की फ़ाइल के रूप में फैला हुआ है। सर्वर, वेब पेज और डेटाबेस तक अनधिकृत पहुंच प्राप्त करने के लिए खतरा ज्ञात कमजोरियों का फायदा उठाता है। मैलवेयर का विश्लेषण करने वाले पालो ऑल्टो नेटवर्क्स यूनिट 42 के इन्फोसेक शोधकर्ताओं के अनुसार, सिलोस्केप हाइपर-वी आइसोलेशन के बजाय सर्वर का उपयोग करने की ओर झुकता है। एक बार समझौता किए गए सिस्टम पर स्थापित होने के बाद, कंटेनर के अंतर्निहित नोड पर रिमोट कोड निष्पादन (आरसीई) स्थापित करने के लिए खतरा विभिन्न विंडोज कंटेनर एस्केप तकनीकों को शुरू करेगा। ऐसा ही एक तरीका है कि Siloscape SExecSvc.exe कंटेनर इमेज सर्विस की पहचान मान लेता है जो मैलवेयर को SeTcbPrivilege विशेषाधिकार प्राप्त करने की अनुमति देता है।
अंततः, यदि सिलोस्केप सफल होता है, तो यह दुर्भावनापूर्ण कंटेनर बनाने में सक्षम होगा, ब्रीच क्लस्टर पर सक्रिय अनुप्रयोगों से डेटा काटा जाएगा, या एक क्रिप्टोमाइनर को तैनात करेगा जो सिस्टम के हार्डवेयर संसाधनों को गुप्त रूप से चुने हुए क्रिप्टोकुरेंसी के सिक्के उत्पन्न करने के लिए अपहरण कर लेगा।
चुपके पर बढ़ा फोकस
सुरक्षा काउंटरमेशर्स द्वारा पता लगाने से बचने और रिवर्स-इंजीनियरिंग प्रयासों में बाधा डालने के लिए सिलोस्केप को बहुत अधिक अस्पष्ट किया गया है। खतरे के कार्यों और मॉड्यूल के नाम केवल रनटाइम के दौरान अस्पष्ट होते हैं, जबकि कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के लिए पासवर्ड को हार्डकोडेड कुंजियों की एक जोड़ी के साथ डिक्रिप्ट किया जाता है। वास्तव में, प्रत्येक Siloscape इंस्टेंस एक अलग जोड़ी की चाबियों का उपयोग करता है जो इसे अन्य खतरे के बायनेरिज़ से अलग बनाता है।
अपने C2 सर्वर तक पहुँचने के लिए, SIloscape Tor प्रॉक्सी और एक '.onion' डोमेन पर निर्भर करता है। यूनिट 42 के शोधकर्ता ऑपरेशन के सर्वर तक पहुंचने में सक्षम थे और कुल 313 पीड़ितों के साथ 23 सक्रिय पीड़ितों की पहचान करने में कामयाब रहे। हैकर्स ने मिनटों के भीतर बाहरी उपस्थिति को देखा और तुरंत उस .onion पते पर सेवा को निष्क्रिय कर दिया।
