Anzeige

Container

Unit 42, das Malware-Forschungsteam von Palo Alto Networks, entdeckt die erste bekannte Malware, die auf Windows-Container abzielt. Diese Entwicklung ist angesichts des massiven Anstiegs der Cloud-Nutzung in den letzten Jahren nicht überraschend.

Die Forscher benannten die Malware Siloscape, weil deren primäres Ziel darin besteht, aus dem Container zu entkommen, und in Windows wird dies hauptsächlich durch ein Server-Silo realisiert. Siloscape ist eine stark verschleierte Malware, die über Windows-Container auf Kubernetes-Cluster abzielt. Ihr Hauptziel ist es, eine Hintertür in schlecht konfigurierte Kubernetes-Cluster zu öffnen, um schädliche Container auszuführen.

Die Kompromittierung eines ganzen Clusters ist viel schwerwiegender als die eines einzelnen Containers, da ein Cluster mehrere Cloud-Anwendungen ausführen könnte, während ein einzelner Container in der Regel nur eine einzige Cloud-Anwendung ausführt. Der Angreifer könnte beispielsweise in der Lage sein, kritische Informationen wie Benutzernamen und Passwörter, vertrauliche und interne Dateien eines Unternehmens oder sogar ganze Datenbanken, die im Cluster gehostet werden, zu stehlen. Ein solcher Angriff könnte sogar als Ransomware-Angriff genutzt werden, indem die Dateien des Unternehmens als Geiseln genommen werden. Noch schlimmer ist, dass mit der Verlagerung in die Cloud viele Unternehmen Kubernetes-Cluster als Entwicklungs- und Testumgebungen nutzen. Eine Verletzung einer solchen Umgebung kann zu verheerenden Angriffen auf die Software-Lieferkette führen.

Siloscape verwendet den Tor-Proxy und eine .onion-Domain, um sich anonym mit ihrem Command-and-Control-Server (C2) zu verbinden. Den Forschern ist es gelungen, Zugang zu diesem Server zu erhalten. Sie identifizierten 23 aktive Siloscape-Opfer und entdeckten, dass der Server für insgesamt 313 Benutzer verwendet wurde, was darauf hindeutet, dass Siloscape ein kleiner Teil einer breiteren Kampagne war. Außerdem fanden sie heraus, dass diese Kampagne seit mehr als einem Jahr läuft.

Die Malware zeichnet sich durch mehrere Verhaltensweisen und Techniken aus:

  • Zielt für den Erstzugriff auf gängige Cloud-Anwendungen wie Webserver ab und nutzt dabei bekannte Schwachstellen („1-Days“) – vermutlich solche, für die ein funktionierender Exploit in freier Wildbahn existiert.
     
  • Verwendet Windows-Container-Escape-Techniken, um dem Container zu entkommen und Code-Ausführung auf dem zugrundeliegenden Knoten zu erlangen.
     
  • Versucht, die Zugangsdaten des Knotens zu missbrauchen, um sich im Cluster zu verbreiten.
     
  • Verbindet sich mit seinem C2-Server mithilfe des IRC-Protokolls über das Tor-Netzwerk.
     
  • Wartet auf weitere Befehle.

Diese Malware kann die Rechenressourcen in einem Kubernetes-Cluster für Cryptojacking nutzen und potenziell sensible Daten von Hunderten von Anwendungen, die in den kompromittierten Clustern laufen, exfiltrieren.

Die Untersuchung des C2-Servers zeigte, dass diese Malware nur ein kleiner Teil eines größeren Netzwerks ist und dass diese Kampagne bereits seit über einem Jahr läuft. Außerdem konnten die Forscher bestätigen, dass dieser spezielle Teil der Kampagne zum Zeitpunkt der Erstellung des Berichts mit aktiven Opfern online war.

Anders als die meiste Cloud-Malware, die sich überwiegend auf Ressourcen-Hijacking und Denial-of-Service (DoS) konzentriert, beschränkt sich Siloscape nicht auf ein bestimmtes Ziel. Stattdessen öffnet es eine Hintertür für alle Arten von bösartigen Aktivitäten.

Wie in einem früheren Beitrag von Unit 42 beschrieben, sollten Benutzer die Richtlinien von Microsoft befolgen und Windows-Container nicht als Sicherheitsfunktion verwenden. Microsoft empfiehlt, ausschließlich Hyper-V-Container für alles zu verwenden, was sich auf Containerisierung als Sicherheitsgrenze verlässt. Bei jedem Prozess, der in Windows Server-Containern ausgeführt wird, sollte davon ausgegangen werden, dass er die gleichen Berechtigungen wie der Administrator auf dem Host hat, der in diesem Fall der Kubernetes-Knoten ist. Wenn Unternehmen Anwendungen in Windows Server-Containern ausführen, die abgesichert werden müssen, empfiehlt Unit 42, diese Anwendungen in Hyper-V-Container zu verschieben.

Außerdem sollten Administratoren sicherstellen, dass ihr Kubernetes-Cluster sicher konfiguriert ist. Ein abgesicherter Kubernetes-Cluster ist nicht so anfällig für diese spezielle Malware, da die Berechtigungen der Knoten nicht ausreichen, um neue Bereitstellungen zu erstellen. In diesem Fall wird Siloscape beendet. Siloscape zeigt, wie wichtig die Sicherheit von Containern ist, da es ohne den Container-Ausbruch keinen nennenswerten Schaden anrichten könnte. Es ist wichtig, dass Unternehmen eine gut konfigurierte und gesicherte Cloud-Umgebung vorhalten, um sich vor solchen Bedrohungen zu schützen.

www.paloaltonetworks.com
 


Weitere Artikel

Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.