Siloscape 惡意軟件

Siloscape 是一種不尋常的惡意軟件，旨在影響 Kubernetes 集群。通常，這種類型的威脅主要針對 Linux 系統，因為它是管理雲應用程序和環境時使用最廣泛的 OS（操作系統）。然而，Soloscape 是第一個被觀察到的惡意軟件威脅，它是專門為破壞 Windows 容器而創建的。然後，威脅行為者將嘗試在未正確配置的 Kubernetes 集群中建立後門，以運行惡意容器。

Siloscape 惡意軟件功能

Siloscape 以名為“CloudMalware.exe”的文件形式傳播。該威脅利用已知漏洞未經授權訪問服務器、網頁和數據庫。據分析該惡意軟件的 Palo Alto Networks 的 Unit 42 信息安全研究人員稱，Siloscape 傾向於使用服務器而不是 Hyper-V 隔離。一旦在受感染的系統上建立，威脅將啟動各種 Windows 容器逃逸技術，以便在容器的底層節點上建立遠程代碼執行 (RCE)。其中一種方法是使 Siloscape 假設 SExecSvc.exe 容器映像服務的身份，該服務允許惡意軟件接收 SeTcbPrivilege 權限。

最終，如果 Siloscape 成功，它將能夠創建惡意容器，從漏洞集群上活動的應用程序中收集數據，或者部署一個加密礦工，劫持系統的硬件資源以秘密生成所選加密貨幣的硬幣。

更加註重隱身

Siloscape 被嚴重混淆，以避免被安全對策檢測並阻礙逆向工程嘗試。威脅的功能和模塊名稱僅在運行時進行反混淆處理，而命令與控制（C2、C&C）服務器的密碼則使用一對硬編碼密鑰進行解密。事實上，每個 Siloscape 實例使用不同的密鑰對，這使得它與其他威脅二進製文件完全不同。

到達它的 C2 服務器，SIloscape 依賴於 Tor 代理和一個“.onion”域。 Unit 42 研究人員能夠訪問該行動的服務器，並設法識別出 23 名活躍的受害者，總共有 313 名受害者。黑客在幾分鐘內就注意到了外部存在，並迅速使該 .onion 地址上的服務處於非活動狀態。