Malware de Siloscape

Siloscape es un malware inusual que tiene como objetivo llegar a los clústeres de Kubernetes. Por lo general, este tipo de amenaza se centra en los sistemas Linux, ya que es el sistema operativo (sistema operativo) más utilizado cuando se trata de la gestión de aplicaciones y entornos en la nube. Siloscape, sin embargo, es la primera amenaza de malware observada que se crea específicamente para comprometer los contenedores de Windows. Luego, el actor de amenazas intentará establecer una puerta trasera en los clústeres de Kubernetes que no se hayan configurado adecuadamente con el objetivo de ejecutar contenedores maliciosos.

Funcionalidad de Siloscape Malware

Siloscape se distribuye en forma de un archivo llamado 'CloudMalware.exe'. La amenaza explota vulnerabilidades conocidas para obtener acceso no autorizado a servidores, páginas web y bases de datos. Según los investigadores de seguridad de la información de la Unidad 42 de Palo Alto Networks que analizaron el malware, Siloscape se inclina hacia el uso del servidor en lugar del aislamiento de Hyper-V. Una vez establecida en el sistema comprometido, la amenaza iniciará varias técnicas de escape de contenedores de Windows para establecer la ejecución remota de código (RCE) en el nodo subyacente de un contenedor. Uno de estos métodos hace que Siloscape asuma la identidad del servicio de imágenes del contenedor SExecSvc.exe, que permite que el malware reciba privilegios de SeTcbPrivilege.

En última instancia, si Siloscape tiene éxito, podrá crear contenedores maliciosos, recopilar datos de aplicaciones activas en el clúster de infracciones o implementar un criptominer que secuestrará los recursos de hardware del sistema para generar de forma encubierta monedas de una criptomoneda elegida.

Mayor enfoque en el sigilo

Siloscape está muy ofuscado para evitar ser detectado por contramedidas de seguridad y obstaculizar los intentos de ingeniería inversa. Las funciones de la amenaza y los nombres de los módulos solo se desofuscan en tiempo de ejecución, mientras que la contraseña del servidor de Comando y Control (C2, C&C) se descifra con un par de claves codificadas. De hecho, cada instancia de Siloscape utiliza un par de claves diferente, lo que la hace tan diferente de los otros binarios de amenazas.

Al llegar a su servidor C2, SIloscape se basa en el proxy Tor y un dominio '.onion'. Los investigadores de la Unidad 42 pudieron acceder al servidor de la operación y lograron identificar a 23 víctimas activas con 313 víctimas en total. Los piratas informáticos notaron la presencia externa en minutos y rápidamente prestaron el servicio en esa dirección .onion inactiva.