Primeras superficies de malware conocidas dirigidas a Home windows …



Siloscape está diseñado para crear una puerta trasera en los clústeres de Kubernetes para ejecutar contenedores maliciosos.

Las organizaciones que ejecutan contenedores de Home windows en su clúster de Kubernetes tienen una nueva amenaza de la que preocuparse.

Investigadores de Palo Alto Networks (PAN) han descubierto lo que dicen es el primer malware conocido dirigido a contenedores de Windows. El malware, llamado Siloscape, está diseñado para escapar de un contenedor de Home windows al nodo de Kubernetes para que pueda propagarse en el clúster.

Los atacantes pueden usar el malware para llevar a cabo una variedad de acciones maliciosas, como el robo de credenciales y datos, la implementación de ransomware y la violación de los entornos de prueba y desarrollo de application empresarial.

Daniel Prizmant, investigador senior del equipo de inteligencia de amenazas de la Unidad 42 de PAN, dice que el malware es una manifestación del creciente enfoque de los atacantes en los entornos de nube. «Los atacantes están experimentando su propia transformación electronic y están explotando el cambio empresarial masivo hacia la nube y las nuevas tecnologías como los contenedores», dice. «Como resultado, la seguridad de los contenedores se ha vuelto importante».

Prizmant describe Siloscape como un malware muy ofuscado cuyo objetivo principal es abrir una puerta trasera en clústeres de Kubernetes mal configurados para ejecutar contenedores maliciosos. Lo hace apuntando primero a vulnerabilidades conocidas en aplicaciones comunes en la nube, como servidores world wide web, para obtener acceso inicial a un contenedor de Windows. Luego, utiliza técnicas de escape de contenedores de Windows para liberarse del contenedor y obtener acceso de ejecución de código al nodo subyacente. Según PAN, existen varios métodos para escapar de los contenedores de Windows. Siloscape utiliza una técnica llamada suplantación de hilos que tiene poca documentación e incluso menos ejemplos de trabajo, dice el proveedor de seguridad en su informe.

El malware verifica si el nodo comprometido tiene los privilegios necesarios para crear nuevas implementaciones de Kubernetes. Siloscape luego se conecta a un servidor de comando y command a través de la purple Tor y ejecuta los comandos que recibe. A diferencia de otros programas maliciosos, Siloscape no contiene ninguna funcionalidad para dañar el clúster de Kubernetes en sí. Más bien, su función principal es abrir una puerta trasera de manera silenciosa e imposible de rastrear en el clúster que los atacantes pueden usar para diferentes propósitos maliciosos, según PAN. informe.

«Debido a que Siloscape abre una puerta trasera al clúster de Kubernetes, le da al atacante el acceso para ejecutar cualquier código, en cualquier lugar del clúster de la víctima», dice Prizmant. «Por ejemplo, un atacante podría utilizar la potencia informática para el cryptojacking, o podría utilizarla como parte de una botnet que podría utilizarse para futuros ataques DDoS».

De manera very similar, los atacantes podrían usar la puerta trasera para instalar malware para robar datos internos de la víctima, incluido el código, las imágenes del contenedor y las bases de datos. Los atacantes también podrían aprovechar el acceso para crear un ataque de ransomware bloqueando y cifrando el clúster, o podrían modificar el clúster para atacar a otras víctimas. «Si el clúster ejecuta un servidor world-wide-web, el atacante podría modificarlo y atacar a todos sus usuarios cambiando el código del servidor», dice Prizmant.

PAN dice que su investigación del servidor C2 mostró al menos 23 víctimas activas de Siloscape. El análisis también mostró que el servidor C2 se estaba utilizando para alojar a más de 300 usuarios en whole. Los datos sugieren que Siloscape es solo una parte de una campaña más amplia dirigida a entornos empresariales en la nube y que la campaña ha estado en marcha durante más de un año, dice el proveedor de seguridad.

Prizmant dice que las organizaciones que usan contenedores de Windows para ejecutar aplicaciones en línea, como servidores world-wide-web, corren mayor riesgo. Él dice que un clúster de Kubernetes bien configurado que sea seguro hará la vida mucho más difícil para Siloscape. Eso es porque incluso si el malware logra escapar del contenedor, no podría tomar el control del clúster.

Él recomienda que las organizaciones que ejecutan contenedores de Home windows deben limitar el privilegio de cada nodo utilizando módulos de autorización de Kubernetes, como el management de acceso basado en roles. Prizmant agrega que los usuarios tampoco deben ejecutar nada en un contenedor de Home windows que no estarían dispuestos a ejecutar como administrador en el sistema host.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first