研究人员发现了第一个已知的针对Windows容器的恶意软件

安全研究人员发现了第一个已知的恶意软件，名为“筒仓镜，“瞄准Windows Server容器，感染云环境中的Kubernetes群集。

“Siloscape是通过Windows容器针对Kubernetes群集的高度模糊的恶意软件，”42单元研究人员Daniel Prizmant说。“它的主要目的是打开一扇进入配置不佳的Kubernetes群集的后门，以便运行恶意容器，例如但不限于cryptojackers。”

首次在2021年3月发现的SeloSCAPE的特征在于几种技术，包括针对常见的云应用，如Web服务器，通过已知的漏洞获得初始立足点，接下来，它利用Windows容器转义技术突破容器的限制，在底层节点上获得远程代码执行。

容器是一个隔离的轻量级思洛存储器，用于在主机操作系统上运行应用程序。恶意软件的名称—；筒仓逃生的缩写—；它的主要目标是逃离容器，在本例中是筒仓。为了实现这一点，Siloscape使用了一种称为线程模拟的方法。

Prizmant说：“Siloscape通过模拟其主线程来模仿CExecSvc.exe权限，然后在一个新创建的符号链接上调用NtsetInformationSymbolicink以跳出容器。”。“更具体地说，它将其本地集装箱X驱动器链接到主机的C驱动器。”

有了这一特权，恶意软件就会试图滥用节点的凭据在集群中传播，然后使用Tor代理匿名建立与其指挥和控制（C2）服务器的连接，以获取进一步的指示，包括利用Kubernetes集群中的计算资源进行加密劫持，甚至从受损集群中运行的应用程序中过滤敏感数据。

Prizmant说：“与其他以加密劫持为主要目标的恶意软件容器不同，Siloscape本身实际上不会做任何损害集群的事情。”。“相反，它专注于不被发现和追踪，并为集群打开了后门。”

在进入指挥与控制服务器后，42号部队表示，他们发现了23名活跃的受害者，该服务器共有313名用户。根据C2服务器的创建日期，该活动据说至少在2020年1月12日左右开始，这表明该恶意软件可能只是一年多前开始的更大规模活动的一小部分。

Prizmant指出：“与大多数主要关注资源劫持和拒绝服务（DoS）的云恶意软件不同，Siloscape并不局限于任何特定目标。”。“相反，它为各种恶意活动打开了后门。”除了安全地配置Kubernetes集群，如果容器化被用作安全边界的一种形式，还建议部署Hyper-V容器。