0
0
“Siloscape”, o primeiro malware a atingir contêineres do Windows, sai dos clusters kubernetes para plantar backdoors e atacar nós para obter credenciais.
Os contêineres do Windows foram vitimados por mais de um ano pelo primeiro malware conhecido para atingir os contêineres do Windows. A campanha em andamento perfura clusters Kubernetes de modo a plantar backdoors, permitindo que os invasores roubem dados e credenciais de usuários, ou até mesmo sequestrar um banco de dados inteiro hospedado em um cluster
O malware foi descoberto pelo pesquisador de segurança da Unidade 42 Daniel Prizmant. Ele o apelidou de Siloscape, que ele pronuncia “Fuga de Silo”. O malware abre vulnerabilidades conhecidas em servidores web e bancos de dados, de modo a comprometer os nós do Kubernetes e aos clusters backdoor.
Em um post publicado na segunda-feira, Prizmant escreveu que o Siloscape é um malware fortemente ofuscado que visa clusters Kubernetes através de contêineres Windows, com o objetivo principal de abrir “um backdoor em clusters Kubernetes mal configurados, a fim de executar contêineres maliciosos”.
Impressionante no Coração dos Contêineres Cada vez mais Populares
Em um postseparado, os pesquisadores da Unidade 42 Ariel Zelivansky e Matthew Chiodi compararam contêineres com os usados para embalar diferentes materiais em navios de carga. Eles são uma maneira fácil de executar aplicações na nuvem, na medida em que eles embalam diferentes materiais juntos para maior eficiência, permitindo que as equipes de desenvolvimento se movam rapidamente e operem “em quase qualquer escala”.
Executar um aplicativo em um contêiner desta forma é referido como containerização, e como outras formas remotas de trabalhar, ele é recolhido a vapor devido ao COVID-19. “Temos visto cada vez mais organizações usando contêineres na nuvem nos últimos anos, especialmente porque a pandemia COVID-19 fez com que muitos procurassem se mover mais rápido e implantar cargas de trabalho em nuvem de forma mais eficiente”, observaram os pesquisadores.
Componentes de Kubernetes. Fonte: Kubernetes
Windows: Um primeiro indesejado
De acordo com Zelivansky e Chiodi, esta é a primeira vez que pesquisadores veem malware direcionado a contêineres do Windows. O sistema operacional Linux em ambientes em nuvem tem sido muito mais popular, disseram eles.
Os pesquisadores da Unidade 42 identificaram 23 vítimas do Siloscape e disseram que as evidências apontam para o lançamento da campanha há mais de um ano.
Prizmant determinou a data de início da campanha – 12 de janeiro de 2020 – ao obter a data de criação do servidor de onde vem. Isso não significa necessariamente que o Siloscape foi criado nessa data, observou ele; em vez disso, isso é provável quando a campanha de malware começou.
Depois de uma engenharia reversa particularmente árdua, Prizmant foi capaz de se conectar ao servidor de comando e controle Siloscape (C2), onde descobriu que estava hospedando um total de 313 usuários. Isso implica que o Siloscape é “uma pequena parte de uma campanha mais ampla”, observou.
Como o Siloscape escapa
O malware começa mirando vulnerabilidades conhecidas – “1 dias” – em aplicativos comuns em nuvem, como servidores web. Esse acesso inicial é presumivelmente adquirido usando explorações encontradas na natureza. No ano passado, Prizmant documentou uma maneira de quebrar os limites dos contêineres do Windows. Em um relatório publicado em 2020, ele descreveu o que os atacantes poderiam fazer se escapassem de um contêiner.
Ele optou por se concentrar no cenário atual: uma fuga de um nó de cluster do Windows em Kubernetes que permitiria que um invasor ganhasse acesso fora do nó e se espalhasse para dentro do cluster.
Fluxo de execução de Siloscape. Fonte: Unidade 42
Depois de comprometer os servidores web, o Siloscape usa táticas de fuga de contêineres para obter a execução de código no nó Kubernetes. Prizmant disse que o uso pesado da ofuscação de Siloscape tornou uma tarefa para o engenharia reversa. “Quase não há cordas legíveis em todo o binário. Embora a lógica de ofuscação em si não seja complicada, isso tornou frustrante reverter essa inversão binária”, explicou.
O malware ofusca funções e nomes de módulos – incluindo APIs simples – e apenas os desobsfusa no tempo de execução. Em vez de apenas ligar para as funções, o Siloscape “fez o esforço para usar a versão API nativa (NTAPI) da mesma função”, disse ele. “O resultado final é um malware que é muito difícil de detectar com ferramentas de análise estática e frustrante para o engenharia reversa.”
“O Siloscape está sendo compilado exclusivamente para cada novo ataque, usando um par único de chaves”, continuou Prizmant. “A chave codificada torna cada binário um pouco diferente do resto, o que explica por que eu não conseguia encontrar seu haxixe em lugar nenhum. Também torna impossível detectar siloscape apenas por hash.”
O que siloscape faz depois de escapar
Depois que o Siloscape compromete nós, o malware fareja credenciais que permitem que ele se espalhe para outros nós no cluster Kubernetes. Em seguida, ele alcança seu servidor C2 via IRC – um protocolo antigo – através da rede de comunicação anônima Tor e fica ocioso, esperando por comandos.
Prizmant adotou um nome de usuário que ele achou que pareceria legítimo quando se conectasse ao servidor C2. Uma vez conectado com sucesso, ele descobriu que ainda estava funcionando e que havia 23 “vítimas ativas”, além de um operador de canal chamado .admin
Mas a presença dele não foi detectada. Depois de cerca de 2 minutos, ele foi expulso do servidor. Dois minutos depois, o servidor foi desligado – pelo menos, ele não estava mais ativo no domínio original que ele usou para conectar.onion
Mas isso foi apenas uma fatia de toda a campanha. Ele realmente viu que no canal #WindowsKubernetes que ele acessou havia muito mais do que aqueles 23 usuários. Na verdade, havia um total de 313 usuários. Ele não seria capaz de identificar, contatar ou avisar qualquer um deles, no entanto.
“Infelizmente, quando me conectei ao servidor, a lista de canais estava vazia, indicando que o servidor estava configurado para não revelar seus canais”, escreveu Prizmant. “Portanto, não consegui mais informações com os nomes dos canais.”
Mas o pesquisador conseguiu obter um detalhe importante. Ou seja, a convenção usada para os nomes das vítimas. Os pesquisadores da Unidade 42 usaram o nome “php_35”, que sua amostra de Siloscape executou através de uma instância de php vulnerável. Outros nomes que incluíram a string “sqlinj” indicam que o invasor provavelmente conseguiu alcançar a execução de código via injeção SQL.
Perigo de cryptojacking, intoxicação da cadeia de suprimentos e mais
Em seu post de julho de 2020, Prizmant disse que sua pesquisa sugeriu que “executar qualquer código em [Windows Server Containers] deve ser considerado tão perigoso quanto executar admin no host. Esses recipientes não são projetados para sandboxing, e eu descobri que escapar deles é fácil.”
Isso poderia permitir que um invasor roubasse credenciais críticas, arquivos confidenciais e internos, ou até mesmo bancos de dados inteiros hospedados no cluster, alertou ele no post de segunda-feira. Pode até levar a um ataque de ransomware se os atacantes tomarem os arquivos de uma organização como reféns. Pior ainda, disse ele, é a ameaça apresentada pelo movimento em massa das organizações para a nuvem. Dado que muitos estão usando clusters Kubernetes para desenvolver e testar códigos, uma violação “pode levar a ataques devastadores da cadeia de fornecimento de software”, disse ele.
No post de segunda-feira, ele explicou que comprometer um cluster inteiro é muito mais grave do que comprometer um contêiner individual, dado que “um cluster poderia executar várias aplicações em nuvem, enquanto um contêiner individual geralmente executa uma única aplicação em nuvem”.
Ele observou que o Siloscape não é como a maioria dos malwares em nuvem, que normalmente se concentram no sequestro de recursos para coisas como criptomining e DoS. O Siloscape, por outro lado, “não se limita a nenhum objetivo específico”, disse Prizmant. “Em vez disso, abre um backdoor para todos os tipos de atividades maliciosas.”
Ataques recentes da Supply Chain & Kubernetes
Ataques na cadeia de suprimentos semelhantes ao que Prizmant alertou foram ligados à instalação de spyware,operação SignSight, o compromisso de Able Desktop, violações de companhias aérease o whopper da cadeia de suprimentos de todos eles: a violação solarwinds do governo dos EUA.
No que diz respeito a outras catástrofes kubernetes, algumas manchetes recentes incluem um bug de segurança de abril de 2021 que permitiu que os atacantes bloqueassem clusters Kubernetes: Uma vulnerabilidade em uma das bibliotecas Go que Kubernetes se baseia que poderia levar à negação de serviço (DoS) para os motores de contêineres CRI-O e Podman. No início de abril, uma campanha de criptominagem organizada e auto-propagante foi descoberta que tinha como alvo portas API abertas da Docker Daemon. Milhares de tentativas de compromisso de contêineres estavam sendo observadas todos os dias relacionadas à campanha.
Também em abril, a tecnologia de contêineres em nuvem da Microsoft, Azure Functions, foi encontrada para abrigar uma fraqueza que permite aos invasores escrever diretamente para arquivos, disseram os pesquisadores. Alguns meses antes, em fevereiro de 2021, um novo malware estava anunciando clusters Kubernetes para criptomine Monero.
Outro exemplo de por que a infraestrutura em nuvem precisa de forte segurança, um simples pote de contêineres Docker foi usado para quatro campanhas criminosas diferentes no período de 24 horas, em um teste de laboratório recente.
Ter seu bolo de nuvem e comê-lo, também
Trevor Morgan, gerente de produto da empresa de segurança de dados empresarial Comforte AG, acha que o Siloscape é o tipo de ameaça que pode deixar as organizações nervosas com a adoção de nuvem. “As empresas adotam estratégias nativas em nuvem porque querem acelerar sua capacidade de inovar. Infelizmente, a maioria das organizações luta com o nível certo de segurança de dados para evitar compromissos com arquiteturas de aplicativos nativas na nuvem”, disse ele ao Threatpost por e-mail na segunda-feira.
“Malwares como o Siloscape complicam esse esforço atacando o cerne da containerização e criam uma verdadeira hesitação por parte dos esforços de desenvolvimento nativos da nuvem, ameaçando retardar esses processos e derrotar a própria agilidade que essas organizações buscam”, apontou. “As ameaças de malware configuram uma falsa escolha entre ser ágil e ser cauteloso e seguro com dados confidenciais.”
Morgan sugeriu que a segurança centrada em dados, como a tokenização, construída especificamente para aplicações nativas em nuvem, “pode ajudar a encontrar o equilíbrio certo entre esses dois”, protegendo os dados em si, em vez de “as fronteiras em camadas e até mesmo amorfas em torno de ambientes de aplicação nativas na nuvem.
“As organizações podem ter certeza de que a segurança dos dados não impede a velocidade e a agilidade, porque informações confidenciais tokenizadas mesmo em contêineres não podem ser comprometidas se caídas em mãos erradas”, disse ele. “As organizações que adotam estratégias nativas em nuvem podem ter sua segurança de dados, ao mesmo tempo em que alcançam agilidade também.”
O que fazer
Prizmant recomendou que os usuários seguissem o conselho da Microsoft para não usar os contêineres do Windows como um recurso de segurança. Em vez disso, a Microsoft recomenda usar estritamente contêineres Hyper-V para qualquer coisa que dependa da containerização como um limite de segurança, observou ele.” Qualquer processo em execução em contêineres do Windows Server deve ser assumido como ter os mesmos privilégios que o administrador no host, que neste caso é o nó Kubernetes. Se você estiver executando aplicativos em contêineres do Windows Server que precisam ser protegidos, recomendamos mover esses aplicativos para contêineres Hyper-V”, disse ele.
A configuração segura dos clusters Kubernetes também é crucial. “Um cluster Kubernetes seguro não será tão vulnerável a esse malware específico quanto os privilégios dos nós não serão suficientes para criar novas implantações. Neste caso, o Siloscape sairá”, disse Prizmant.
“O Siloscape nos mostra a importância da segurança do contêiner, já que o malware não seria capaz de causar danos significativos se não fosse a fuga do contêiner”, escreveu ele. “É fundamental que as organizações mantenham um ambiente de nuvem bem configurado e seguro para proteger contra tais ameaças.”
FONTE: THREATPOST