Siloscape Malware

Siloscape, Kubernetes kümelerine ulaşmayı amaçlayan olağandışı bir kötü amaçlı yazılımdır. Genellikle, bu tür bir tehdit, bulut uygulamalarının ve ortamlarının yönetimi söz konusu olduğunda en yaygın kullanılan işletim sistemi (işletim sistemi) olduğu için Linux sistemlerine odaklanır. Ancak Siloscape, Windows kapsayıcılarını tehlikeye atmak için özel olarak oluşturulmuş ilk gözlemlenen kötü amaçlı yazılım tehdididir. Tehdit aktörü daha sonra, kötü amaçlı kapsayıcıları çalıştırmak amacıyla uygun şekilde yapılandırılmamış Kubernetes kümelerinde bir arka kapı oluşturmaya çalışır.

Siloscape Kötü Amaçlı Yazılım İşlevselliği

Siloscape, 'CloudMalware.exe' adlı bir dosya biçiminde yayılır. Tehdit, sunuculara, web sayfalarına ve veritabanlarına yetkisiz erişim sağlamak için bilinen güvenlik açıklarından yararlanır. Kötü amaçlı yazılımı analiz eden Palo Alto Networks Unit 42'deki infosec araştırmacılarına göre Siloscape, Hyper-V izolasyonu yerine Sunucu kullanmaya yöneliyor. Güvenliği ihlal edilmiş sisteme yerleştirildikten sonra, tehdit, bir kapsayıcının temel düğümünde uzaktan kod yürütme (RCE) oluşturmak için çeşitli Windows kapsayıcı kaçış tekniklerini başlatır. Böyle bir yöntem, Siloscape'in, kötü amaçlı yazılımın SeTcbPrivilege ayrıcalıklarını almasına izin veren SExecSvc.exe kapsayıcı görüntü hizmetinin kimliğini üstlendiğini görür.

Sonuç olarak, Siloscape başarılı olursa, kötü niyetli kaplar oluşturabilecek, ihlal kümesinde aktif olan uygulamalardan veri toplayabilecek veya seçilen bir kripto para biriminin paralarını gizlice oluşturmak için sistemin donanım kaynaklarını ele geçirecek bir kripto madencisini konuşlandırabilecek.

Gizliliğe Artan Odaklanma

Siloscape, güvenlik önlemleri tarafından tespit edilmekten kaçınmak ve tersine mühendislik girişimlerini engellemek için büyük ölçüde karartılmıştır. Tehdidin işlevleri ve modül adları yalnızca çalışma zamanında degizlenirken, Komuta ve Kontrol (C2, C&C) sunucusunun parolasının şifresi bir çift sabit kodlanmış anahtarla çözülür. Aslında, her Siloscape örneği, onu diğer tehdit ikili dosyalarından tamamen farklı kılan farklı bir anahtar çifti kullanır.

C2 sunucusuna ulaşmak için SIloscape, Tor proxy'sine ve bir '.onion' etki alanına güvenir. Birim 42 araştırmacıları, operasyonun sunucusuna ulaşabildi ve toplamda 313 mağdur olmak üzere 23 aktif mağduru tespit etmeyi başardı. Bilgisayar korsanları dakikalar içinde dışarıdaki varlığı fark ettiler ve bu .onion adresindeki hizmeti hızla devre dışı bıraktılar.