{"id":254443,"date":"2021-06-07T17:57:05","date_gmt":"2021-06-07T15:57:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254443"},"modified":"2021-06-07T23:31:59","modified_gmt":"2021-06-07T21:31:59","slug":"siloscape-malware-zielt-auf-windows-container-in-kubernetes-clustern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/07\/siloscape-malware-zielt-auf-windows-container-in-kubernetes-clustern\/","title":{"rendered":"Siloscape-Malware zielt auf Windows Container in Kubernetes-Clustern"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Palo Alto Networks schlagen Alarm, sind sie doch auf die Siloscape genannte Malware gesto\u00dfen. Die Malware versucht Windows-Container, die in Kubernetes-Clustern in der Cloud laufen, zu kompromittieren. Im Anschluss wird versucht, alle Container im Kubernetes-Cluster zu infiltieren. W\u00e4hrend dies bisher nur f\u00fcr Linux bekannt war, ist jetzt auch eine Siloscape genannte Malware dabei, Windows-Systeme zu befallen.<\/p>\n

\"\"Das Malware-Forschungsteam der Unit 42 von Palo Alto Networks ver\u00f6ffentlichte einen Untersuchungsbericht<\/a>, der die erste bekannten Malware, die auf Windows-Container abzielt, beschreibt.<\/p>\n

Was ist Kubernetes<\/h2>\n

Kubernetes<\/a> ist ein Open-Source-System zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen, das urspr\u00fcnglich von Google entworfen und an die Cloud Native Computing Foundation (CNCF)\u00fcbergeben wurde. Kubernetes zielt darauf ab, eine \u201ePlattform f\u00fcr das automatisierte Bespielen, Skalieren und Warten von Anwendungscontainern auf verteilten Hosts\" zu liefern. Es unterst\u00fctzt eine Reihe von Container-Tools, einschlie\u00dflich Docker. Die Orchestrierung mittels Kubernetes wird von f\u00fchrenden Cloud-Plattformen wie Microsoft Azure, IBM Cloud, Red Hat OpenShift, Amazons EKS, Googles Kubernetes Engine und Oracles OCI unterst\u00fctzt.<\/p>\n

Die Siloscape-Malware<\/h2>\n

Die Forscher benannten die Malware Siloscape, weil deren prim\u00e4res Ziel darin besteht, aus dem Container zu entkommen. Siloscape ist eine stark verschleierte Malware, die \u00fcber Windows-Container auf Kubernetes-Cluster abzielt. Die Malware verwendet den Tor-Proxy und eine .onion-Domain, um sich anonym mit ihrem Command-and-Control-Server (C2) zu verbinden. Ihr Hauptziel ist es, eine Hintert\u00fcr in schlecht konfigurierte Kubernetes-Cluster zu \u00f6ffnen, um Container zu kompromittieren.<\/p>\n

Die Kompromittierung eines ganzen Clusters ist viel schwerwiegender als die eines einzelnen Containers. Denn ein Kubernetes Cluster k\u00f6nnte mehrere Cloud-Anwendungen ausf\u00fchren, w\u00e4hrend ein einzelner Container in der Regel nur eine einzige Cloud-Anwendung beinhaltet. Geleingt die Kompromittierung, k\u00f6nnte der Angreifer beispielsweise kritische Informationen wie Benutzernamen und Passw\u00f6rter, vertrauliche Dateien eines Unternehmens oder sogar ganze Datenbanken, die im Cluster gehostet werden, stehlen.<\/p>\n

Ein solcher Angriff k\u00f6nnte sogar als Ransomware-Angriff genutzt werden, indem die Dateien des Unternehmens verschl\u00fcsselt werden. Noch schlimmer ist, dass mit der Verlagerung in die Cloud viele Unternehmen Kubernetes-Cluster als Entwicklungs- und Testumgebungen nutzen. Eine Verletzung einer solchen Umgebung kann zu verheerenden Angriffen auf die Software-Lieferkette f\u00fchren.<\/p>\n

Zugang zum C&C-Server geknackt<\/h2>\n

Den Sicherheitsforschern von Unit 42 ist es gelungen, Zugang zum C&C-Server zu erhalten. Sie identifizierten 23 aktive Siloscape-Opfer und entdeckten, dass der Server f\u00fcr insgesamt 313 Benutzer verwendet wurde. Das deutet darauf hin, dass Siloscape ein kleiner Teil einer gr\u00f6\u00dferen Kampagne war. Au\u00dferdem fanden sie heraus, dass diese Kampagne seit mehr als einem Jahr l\u00e4uft. Die Malware zeichnet sich durch mehrere Verhaltensweisen und Techniken aus:<\/p>\n