近日,云安全公司Aqua發(fā)現(xiàn)了一個(gè)大規(guī)模的加密貨幣挖礦活動(dòng),攻擊者利用Kubernetes(K8s)基于角色的訪問(wèn)控制(RBAC)來(lái)創(chuàng)建后門并運(yùn)行挖礦惡意軟件。該活動(dòng)被研究者命名為RBAC Buster,專家指出,這些攻擊正在野外攻擊至少60個(gè)集群。
“我們最近發(fā)現(xiàn)了有史以來(lái)首個(gè)利用Kubernetes(K8s)基于角色的訪問(wèn)控制(RBAC)來(lái)創(chuàng)建后門的挖礦活動(dòng),”Aqua發(fā)布的報(bào)告寫道:“攻擊者還部署了DaemonSets來(lái)接管和劫持他們攻擊的K8s集群的資源?!?
攻擊鏈從配置錯(cuò)誤的API服務(wù)器的初始訪問(wèn)開始,然后攻擊者會(huì)發(fā)送一些HTTP請(qǐng)求來(lái)列出機(jī)密信息,然后發(fā)出兩個(gè)API請(qǐng)求,通過(guò)列出“kube-system”命名空間中的實(shí)體來(lái)獲取有關(guān)集群的信息。
攻擊者還會(huì)檢查受感染服務(wù)器上競(jìng)爭(zhēng)礦工惡意軟件的證據(jù),并使用RBAC設(shè)置來(lái)實(shí)現(xiàn)持久駐留。
Aqua的研究人員設(shè)置了K8s蜜罐對(duì)該活動(dòng)進(jìn)行研究,在所設(shè)置的集群的不同位置公開暴露AWS訪問(wèn)密鑰。結(jié)果顯示,攻擊者會(huì)使用訪問(wèn)密鑰來(lái)嘗試進(jìn)一步訪問(wèn)目標(biāo)的云服務(wù)提供商帳戶,并試圖獲得更多資源的訪問(wèn)權(quán)限。
攻擊者創(chuàng)建了DaemonSet,以使用單個(gè)API請(qǐng)求在所有節(jié)點(diǎn)上部署容器。容器鏡像“kuberntesio/kube-controller:1.0.1”托管在公共Docker Hub上。
專家們發(fā)現(xiàn),自五個(gè)月前上傳以來(lái),該Docker鏡像被拉取了14399次。
“名為‘kuberntesio’的容器賬戶仿冒了合法帳戶‘kubernetesio’,累積拉?。≒ull)已經(jīng)高達(dá)數(shù)百萬(wàn)次,盡管該賬戶只有幾十個(gè)容器鏡像?!眻?bào)告總結(jié)道:“該賬戶下的鏡像(‘kuberntesio/kube-controller’)還仿冒了流行的‘kube-controller-manager’容器鏡像,后者是控制平面的關(guān)鍵組件,在每個(gè)主節(jié)點(diǎn)上的Pod內(nèi)運(yùn)行,負(fù)責(zé)檢測(cè)和響應(yīng)節(jié)點(diǎn)故障?!?
參考鏈接:
https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters
聲明:本文來(lái)自GoUpSec,版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn),不代表安全內(nèi)參立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系 anquanneican@163.com。