Siloscape 恶意软件

Siloscape 是一种不寻常的恶意软件，旨在影响 Kubernetes 集群。通常，这种类型的威胁主要针对 Linux 系统，因为它是管理云应用程序和环境时使用最广泛的 OS（操作系统）。然而，Soloscape 是第一个被观察到的恶意软件威胁，它专门用于破坏 Windows 容器。然后，威胁行为者将尝试在未正确配置的 Kubernetes 集群中建立后门，以运行恶意容器。

Siloscape 恶意软件功能

Siloscape 以名为“CloudMalware.exe”的文件形式传播。该威胁利用已知漏洞未经授权访问服务器、网页和数据库。据分析该恶意软件的 Palo Alto Networks 的 Unit 42 信息安全研究人员称，Siloscape 倾向于使用服务器而不是 Hyper-V 隔离。一旦在受感染的系统上建立，威胁将启动各种 Windows 容器逃逸技术，以便在容器的底层节点上建立远程代码执行 (RCE)。其中一种方法是使 Siloscape 假设 SExecSvc.exe 容器映像服务的身份，该服务允许恶意软件接收 SeTcbPrivilege 权限。

最终，如果 Siloscape 成功，它将能够创建恶意容器，从漏洞集群上活动的应用程序中收集数据，或者部署一个加密矿工，劫持系统的硬件资源以秘密生成所选加密货币的硬币。

更加注重隐身

Siloscape 被严重混淆，以避免被安全对策检测并阻碍逆向工程尝试。威胁的功能和模块名称仅在运行时进行反混淆处理，而命令与控制（C2、C&C）服务器的密码则使用一对硬编码密钥进行解密。事实上，每个 Siloscape 实例使用不同的密钥对，这使得它与其他威胁二进制文件完全不同。

到达它的 C2 服务器，SIloscape 依赖于 Tor 代理和一个“.onion”域。 Unit 42 研究人员能够访问该行动的服务器，并设法识别出 23 名活跃的受害者，总共有 313 名受害者。黑客在几分钟内就注意到了外部存在，并迅速使该 .onion 地址上的服务处于非活动状态。