Siloscape-malware

Siloscape is een ongebruikelijke malware die tot doel heeft Kubernetes-clusters te bereiken. Meestal is dit type dreiging gericht op Linux-systemen, omdat dat het meest gebruikte besturingssysteem (besturingssysteem) is als het gaat om het beheer van cloud-apps en -omgevingen. Siloscape is echter de eerste waargenomen malwarebedreiging die specifiek is gemaakt om Windows-containers te compromitteren. De dreigingsactor zal vervolgens proberen een achterdeur op te zetten in Kubernetes-clusters die niet correct zijn geconfigureerd met als doel kwaadaardige containers uit te voeren.

Siloscape Malware-functionaliteit

Siloscape wordt verspreid in de vorm van een bestand met de naam 'CloudMalware.exe.' De dreiging maakt gebruik van bekende kwetsbaarheden om ongeautoriseerde toegang te krijgen tot servers, webpagina's en databases. Volgens de infosec-onderzoekers van Palo Alto Networks' Unit 42 die de malware analyseerden, neigt Siloscape naar het gebruik van Server in plaats van Hyper-V-isolatie. Eenmaal op het besmette systeem geïnstalleerd, zal de dreiging verschillende ontsnappingstechnieken voor Windows-containers starten om uitvoering van externe code (RCE) op het onderliggende knooppunt van een container tot stand te brengen. Bij een van die methoden neemt Siloscape de identiteit aan van de SExecSvc.exe-containerimageservice waarmee de malware SeTcbPrivilege-rechten kan ontvangen.

Uiteindelijk, als Siloscape succesvol is, zal het in staat zijn om kwaadaardige containers te maken, gegevens te oogsten van applicaties die actief zijn op het inbreukcluster, of een cryptominer te implementeren die de hardwarebronnen van het systeem zal kapen om heimelijk munten van een gekozen cryptocurrency te genereren.

Verhoogde focus op stealth

Siloscape is zwaar versluierd om detectie door beveiligingsmaatregelen te voorkomen en pogingen tot reverse-engineering te belemmeren. De functies en modulenamen van de dreiging worden alleen onleesbaar gemaakt tijdens runtime, terwijl het wachtwoord voor de Command-and-Control (C2, C&C)-server wordt gedecodeerd met een paar hardgecodeerde sleutels. In feite gebruikt elke Siloscape-instantie een ander paar sleutels, waardoor het net zo anders is dan de andere bedreigingsbinaire bestanden.

Om zijn C2-server te bereiken, vertrouwt SIloscape op de Tor-proxy en een '.onion'-domein. Onderzoekers van Unit 42 kregen toegang tot de server van de operatie en slaagden erin om 23 actieve slachtoffers te identificeren met in totaal 313 slachtoffers. De hackers merkten de aanwezigheid van buitenaf binnen enkele minuten op en maakten de service op dat .onion-adres snel inactief.