Siloscape 악성 코드

Siloscape는 Kubernetes 클러스터에 도달하는 것을 목표로하는 특이한 맬웨어입니다. 일반적으로 이러한 유형의 위협은 클라우드 앱 및 환경 관리와 관련하여 가장 널리 사용되는 OS (운영 체제) 인 Linux 시스템에 중점을 둡니다. 그러나 Siloscape는 Windows 컨테이너를 손상시키기 위해 특별히 만들어진 최초의 맬웨어 위협입니다. 그런 다음 위협 행위자는 악성 컨테이너를 실행하기 위해 적절하게 구성되지 않은 Kubernetes 클러스터에 백도어를 설정하려고합니다.

Siloscape 맬웨어 기능

Siloscape는 'CloudMalware.exe'라는 파일 형태로 확산됩니다. 위협은 알려진 취약점을 악용하여 서버, 웹 페이지 및 데이터베이스에 대한 무단 액세스를 얻습니다. 악성 코드를 분석 한 Palo Alto Networks Unit 42의 infosec 연구원에 따르면 Siloscape는 Hyper-V 격리보다는 서버를 사용하는쪽으로 기 울었습니다. 손상된 시스템에 구축되면 위협은 컨테이너의 기본 노드에서 원격 코드 실행 (RCE)을 설정하기 위해 다양한 Windows 컨테이너 이스케이프 기술을 시작합니다. 이러한 방법 중 하나는 Siloscape가 맬웨어가 SeTcbPrivilege 권한을받을 수 있도록 허용하는 SExecSvc.exe 컨테이너 이미지 서비스의 ID를 가정하는 것입니다.

궁극적으로 Siloscape가 성공하면 악성 컨테이너를 생성하고, 침해 클러스터에서 활성화 된 애플리케이션에서 데이터를 수집하거나, 선택한 암호 화폐의 코인을 은밀하게 생성하기 위해 시스템의 하드웨어 리소스를 탈취하는 암호화 채굴기를 배포 할 수 있습니다.

스텔스에 대한 집중력 증가

Siloscape는 보안 대책에 의한 탐지를 방지하고 리버스 엔지니어링 시도를 방해하기 위해 심하게 난독 화되어 있습니다. 위협의 기능과 모듈 이름은 런타임시에만 난독 화되고 Command-and-Control (C2, C & C) 서버의 암호는 한 쌍의 하드 코딩 된 키로 해독됩니다. 실제로 각 Siloscape 인스턴스는 다른 위협 바이너리와는 다른 키 쌍을 사용합니다.

C2 서버에 도달하는 SIloscape는 Tor 프록시와 '.onion'도메인에 의존합니다. 42 부대 연구원은 작전 서버에 접속하여 총 313 명의 피해자와 23 명의 활성 피해자를 식별 할 수있었습니다. 해커는 몇 분 내에 외부의 존재를 발견하고 해당 .onion 주소의 서비스를 비활성화했습니다.