Siloscape Malware

Siloscape Malware-Beschreibung

Siloscape ist eine ungewöhnliche Malware, die darauf abzielt, Kubernetes-Cluster zu erreichen. Normalerweise konzentriert sich diese Art von Bedrohung auf Linux-Systeme, da dies das am weitesten verbreitete Betriebssystem (Betriebssystem) ist, wenn es um die Verwaltung von Cloud-Apps und -Umgebungen geht. Siloscape ist jedoch die erste beobachtete Malware-Bedrohung, die speziell entwickelt wurde, um Windows-Container zu kompromittieren. Der Bedrohungsakteur versucht dann, in Kubernetes-Clustern, die nicht entsprechend konfiguriert wurden, eine Hintertür einzurichten, um bösartige Container auszuführen.

Siloscape-Malware-Funktionalität

Siloscape wird in Form einer Datei namens „CloudMalware.exe“ verbreitet. Die Bedrohung nutzt bekannte Schwachstellen aus, um unbefugten Zugriff auf Server, Webseiten und Datenbanken zu erlangen. Laut den infosec-Forschern von Palo Alto Networks' Unit 42, die die Malware analysiert haben, tendiert Siloscape dazu, Server- statt Hyper-V-Isolation zu verwenden. Sobald die Bedrohung auf dem kompromittierten System eingerichtet ist, initiiert sie verschiedene Windows-Container-Escape-Techniken, um eine Remotecodeausführung (RCE) auf dem zugrunde liegenden Knoten eines Containers einzurichten. Bei einer dieser Methoden nimmt Siloscape die Identität des Container-Image-Dienstes SExecSvc.exe an, wodurch die Malware SeTcbPrivilege-Berechtigungen erhalten kann.

Wenn Siloscape erfolgreich ist, wird es letztendlich in der Lage sein, schädliche Container zu erstellen, Daten aus Anwendungen zu sammeln, die auf dem Sicherheitscluster aktiv sind, oder einen Cryptominer einzusetzen, der die Hardwareressourcen des Systems kapert, um heimlich Coins einer ausgewählten Kryptowährung zu generieren.

Verstärkter Fokus auf Stealth

Siloscape ist stark verschleiert, um eine Erkennung durch Sicherheitsmaßnahmen zu vermeiden und Reverse-Engineering-Versuche zu erschweren. Die Funktionen und Modulnamen der Bedrohung werden nur zur Laufzeit enthüllt, während das Passwort für den Command-and-Control (C2, C&C)-Server mit einem Paar hartcodierter Schlüssel entschlüsselt wird. Tatsächlich verwendet jede Siloscape-Instanz ein anderes Schlüsselpaar, was sie von den anderen Bedrohungsbinärdateien unterscheidet.

Um seinen C2-Server zu erreichen, setzt SIloscape auf den Tor-Proxy und eine '.onion'-Domain. Die Forscher der Einheit 42 konnten auf den Server der Operation zugreifen und konnten 23 aktive Opfer mit insgesamt 313 Opfern identifizieren. Die Hacker bemerkten die äußere Präsenz innerhalb von Minuten und machten den Dienst an dieser .onion-Adresse schnell inaktiv.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".


HTML ist nicht erlaubt.