利用 Windows Server 容器攻陷云环境的首款恶意软件现身
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
Palo Alto Networks 公司的安全专家表示,发现了针对并逃逸 Windows Server 容器以感染受害者 Kubernetes 集群基础设施的首款恶意软件。
研究人员表示在今年3月初发现了这些攻击,但攻击应该至少发生了一年之久的时间。
研究人员表示,攻击者一直在扫描互联网中的常见云应用程序如 Web 服务器并部署老旧漏洞的 exploit,以在未修复应用程序上站稳脚跟。
如该 web app 在 Windows Server 容器中运行,则攻击者会部署名为 “Siloscape” 的恶意软件,通过此前记录的 Windows 容器逃逸技术访问底层操作系统。如该操作系统以 Kubernetes 节点方式运行,则攻击者提取并收集该节点的凭证,而研究员认为这样做是为了跳转到公司的内部 Kubernetes 基础设施以部署具备恶意能力的新节点。
Siloscape 同时下载并安装了 Tor 客户端以联系其命令和控制服务器并接受命令。研究员表示可以访问该 C2 服务器,并在本文写作期间,该攻击者似乎感染了300多个系统。然而,截至目前,研究员尚未发现攻击者发动的任意恶意活动。
该公司的资深安全研究员 Daniel Prizmant指出,“其它攻击容器的恶意软件一般旨在劫持密币,但 Siloscape 并不会主动执行任何损害集群的动作,而是专注于不被检测到和不被追踪到,并在集群中打开后门。”
Palo Alto 公司正在警告各企业采取行动,将应用程序从 Windows 容器转移到微软新推出的 Hyper-V 可视化技术,而甚至微软也在推荐使用这种新技术而非老旧且安全程度更低的容器机制。
Prizmant 表示,如不重视这一建议,重要的内部系统就可能遭攻击。虽然该攻击者很可能以密币挖掘牟利,但它同时能够将某些大型被黑企业的访问权限出租给其它犯罪组织,如勒索软件组织,获取更大的收益。
在企业从 Windows Server 容器迁移到 Hyper-V 之前,应当部署系统以检测 Siloscape 攻击。Palo Alto Networks 报告中提到了 Siloscape 攻击的 IOCs。由于 Siloscape 还不是大规模的攻击活动,因此目前该恶意软件的某些工件难以追踪,但在今天早些时候,vx-uderground 社区已发现并共享了某些文件。
报告请见:https://unit42.paloaltonetworks.com/siloscape/
推荐阅读
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
Windows XP、Windows Server 2003 等微软操作系统的源代码被指遭泄露
微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞
原文链接
https://therecord.media/first-malware-discovered-targeting-windows-server-containers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
利用 Windows Server 容器攻陷云环境的首款恶意软件现身相关推荐
- 容器编排技术 -- Windows Server 容器
容器编排技术 -- Windows Server 容器 1 前提条件 2 网络 2.1 Linux 2.2 Windows 3 在Kubernetes上搭建Windows server 容器 3.1 ...
- 利用Windows Server Backup备份数据进行域控裸机还原
在<利用Windows Server Backup功能备份活动目录 >一文中我讲解了如何进利用Windows Server Backup功能来对域控进行备份,在本次的博文中,我们就一起来看 ...
- Windows Server基础架构云参考架构:硬件之上的设计
作者 王枫 发布于2014年1月27日 综述 毫无疑问,移动互联网.社交网络.大数据和云计算已经成为IT发展的四个大的趋势.其中云计算又为前三个提供了一个理想的平台.今天不仅互联网公司,很多传统行业的 ...
- Windows Server 2008搭建域环境---安装活动目录
搭建域环境 首先搭建一个单域环境,掌握活动目录的功能,后面的章节将会讲授活动目录树活动目录林,以及林之间的信任.在现阶段只介绍单域单域控制器环境中如何使用活动目录集中管理和统一身份验证. 目标 u 学 ...
- windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做.为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win200 ...
- Windows server下部署php环境
使用2003 server搭建php程序环境 下载MySQL http://dev.mysql.com/downloads/ 下载php http://php.net/download ...
- Windows Server 2012配置***服务环境
系统环境: Windows Server 2012 R2 Standard (带有GUI的服务器) 功能需求:搭建基于PPTP 的×××,作为跳板机进行×××连接业务系统 1.配置准备工作 1.1. ...
- 重磅!阿里云发布业界首款SaaS化防火墙
近日,阿里云发布了业界首款SaaS化防火墙,一键开启,无需复杂网络接入配置,适用于所有在云上部署了重要业务资产的客户,特别是企业级客户. 对于用户来说,即开即用,操作简单,无需传统防火墙的镜像安装.路 ...
- windows server如何加强云服务器的安全性
1.更改默认端口号 终端服务默认使用知名端口号3389,很显然大家都知道这个端口是做什么的,所以改端口号可以躲过很多的机器扫描.可以从终端服务本机上修改默认端口号,如果有防火墙做NAT,那更简单了,N ...
最新文章
- 酷讯出来的张一鸣为什么做了新闻不是旅游?
- 最强 Android Studio 使用小技巧和快捷键
- SSH免密码登录设置
- 利用Selenium爬取淘宝商品信息
- c 子类对象 访问父类对象受保护成员_java面向对象总结
- iphone桌面上的圆圈怎么设置_iPhone的备忘录如何排序?什么便签可以更改排列展示顺序...
- 恕我直言,你可能误解了微服务
- brasb 密码自动应答
- Log4Net 配置日志按日期和日志级别分类写入
- python django框架 比php_django 第一感觉对比 php 各大框架
- red5 + java+flex free download_Flex 4 +Red5 流媒体使用研究2——Flex4的VideoPlayer控件应用...
- 微信信用分-服务商模式(免密代扣-免确认订单模式——智能零售-称重柜)
- unity 摄像机导入 3dmax 带fov
- idea关闭自动更新
- 引用百度地图,隐藏百度地图logo
- 揭秘虚拟化环境高可靠存储的构架和配置
- 购物网站HTML(首页)
- vivo x60pro刷机鸿蒙,vivo X60 Pro:两个好消息,两个坏消息
- Extjs页面实现行复制功能
- data mining (foreign blogs)