恶意软件Siloscape可在Kubernetes集群中植入后门

面临层出不穷的恶意软件和不绝于耳的网络安全侵犯事情，应该怎样应对网络犯罪分子?答案很简单，就从他们下手的当地开端处理。一般网络袭击都是系统缝隙被运用导致的，为了减少系统缝隙，可以从源代码安全检测开端做起，下降使用软件中的代码缺陷缝隙。

Palo Alto Networks网络安全研究人员披露了一种新恶意软件的惊人细节，该恶意软件会危害Windows容器以针对Kubernetes集群，它被命名为Siloscape。Siloscape是第一个针对 Windows 容器的恶意软件，它运用影响Web服务器和数据库的已知系统缝隙，终究政策是损坏Kubernetes节点和后门集群。专注于将Linux作为处理云环境和使用程序的首选操作系统。

什么是Kubernetes集群?

Kubernetes开端由Google开发，现由云原生核算基金会来保护。Kubernetes是一个开源系统，用于在主机集群上主动扩展、安置和处理容器化服务、作业负载和使用程序。它将使用容器组织成pods、节点(物理或虚拟机)和集群，由多个节点组成由主节点处理的集群，主节点协调与集群相关的使命，如弹性或更新使用。

恶意软件Siloscape

网络安全研究人员称，该恶意软件于2021年3月被发现，被命名为Siloscape是因为它旨在通过服务器孤岛来逃避 Windows容器。它运用Tor署理和 .onion 域与其C&C服务器通讯。而且，恶意软件运用者运用它来盗取数据、发送指令和处理恶意软件。

它是怎样侵犯的?

该恶意软件被标记为CloudMalware.exe。它没有运用Hyper-V隔离，而是运用服务器来定位Windows容器，并通过运用已知和未修补的缝隙主张网络安全侵犯，以获得对网页、服务器和/或数据库的初始访问权限。系统缝隙是侵犯的要害，若能做好源代码安全检测及时发现代码缺陷，或可通过减少系统缝隙然后防止遭受网络安全侵犯。

Siloscape运用各种Windows容器转义技术(例如模仿容器映像服务CExecSvc.exe以获取 SeTcbPrivilege权限)在容器的底层节点上实现远程代码执行。然后检测受感染的节点以获取容许恶意软件传播到Kubernetes 集群中其他节点的凭据。

在感染的终究阶段，Siloscape恶意软件通过Tor匿名通讯网络的IRC与其指令控制(C2)服务器树立通讯通道，并监听来自操作者的传入指令。

如果恶意软件设法逃脱，它会创立恶意容器，从受感染集群中工作/活动的使用程序盗取数据，或加载加密钱银矿工以运用系统资源开掘加密钱银，并为恶意软件运营商赚取赢利。

完美的就地稠浊技术

恶意软件Siloscape有很强的稠浊技术，它的模块和函数只能在工作时进行反稠浊处理。此外，为了躲藏其活动并使逆向工程变得复杂，它运用一对密钥来解密C&C服务器的暗码。每一次侵犯都会生成密钥。硬编码的密钥使每个二进制文件都难以与其他二进制文件区别开。在任何当地找到其散列都变得具有挑战性，因而无法仅通过散列来检测恶意软件。

受害者遭受勒索软件，供应链侵犯

大多数针对云环境的恶意软件都专注于加密绑架(在受感染的设备上秘密开掘加密钱银)和乱用受感染的系统主张DDoS侵犯，但Siloscape完全不同。首要，它通过防止任何或许向受要挟集群的所有者宣布侵犯警报的行为(包含加密绑架)，来尽量逃避检测。它的政策是为Kubernetes集群设置后门，这为其运营商乱用受损的云根底设备进行更广泛的恶意活动提供根底，包含盗取凭据、数据泄露、勒索软件侵犯，乃至是灾难性的供应链侵犯。

主张Kubernetes处理员从Windows容器切换到Hyper-V容器，并确保集群是安全配置以防止像Siloscape这样的恶意软件安置新的恶意容器。

纵观所有恶意软件的侵犯方法，无非是运用了系统缝隙实施网络安全侵犯，然后影响使用程序及整个网络环境，因而下降系统缝隙数量可以直接减少网络遭到侵犯的时机。系统缝隙大多是在开发阶段由许多代码缺陷造成的，在网络安全日益严峻的今天，在软件开发前期实时进行源代码安全缝隙检测并修正，可有用下降软件在上线后发生安全缝隙的风险，逃避网络安全侵犯带来的负面影响。