關鍵詞

安全漏洞

對于網絡安全專業人士而言，出現了一個令人擔憂的新情況：威脅行為者正越來越多地將目標對準未受安全保護的 Kubernetes 集群，以便在受害者組織毫不知情的情況下，利用其計算資源來部署加密貨幣挖礦活動。

這些攻擊利用了容器化環境中的漏洞，尤其側重于利用配置錯誤和薄弱的身份驗證機制，這些漏洞使得攻擊者能夠未經授權訪問 Kubernetes 基礎設施。

攻擊通常始于通過密碼噴灑技術竊取憑據，隨后會創建未經授權的資源組和容器部署。

一旦威脅行為者獲得了對 Kubernetes 集群的訪問權限，他們就可以部署大量專門用于加密貨幣挖礦活動的容器，從而有效地將一個組織的計算資源轉化為攻擊者的盈利資產。

在過去的一年里，出現了一個特別值得關注的案例，攻擊者對教育領域的云租戶發動了復雜的密碼噴灑攻擊。

這些攻擊涉及使用一個名為 AzureChecker.exe 的命令行界面工具，該工具會連接到惡意域名，以下載包含用于密碼噴灑操作的目標信息的 AES 加密數據。

Microsoft的研究人員確定，在這些攻擊背后有一個被追蹤代號為 Storm-1977 的威脅組織。

在分析攻擊方法時，Microsoft威脅情報部門觀察到，該工具接受一個名為 accounts.txt 的文件作為輸入，該文件包含用戶名和密碼組合，然后這些組合會被用于對目標租戶進行驗證。

在一個有記錄的事件中，研究人員目睹了一起成功的賬戶被攻破事件，威脅行為者利用一個來賓賬戶在被攻破的訂閱中創建了一個資源組。

在獲得初始訪問權限后，攻擊者接著在該資源組內創建了 200 多個容器，并專門為加密貨幣挖礦操作對它們進行了配置。

通過 Kubernetes 審計檢測攻擊

檢測這些加密貨幣挖礦操作的一個關鍵因素是了解 Kubernetes 審計日志中出現的獨特模式。

當威脅行為者部署他們的挖礦基礎設施時，他們通常需要特權訪問權限，這會在集群的審計跟蹤記錄中留下可識別的痕跡。

安全團隊可以實施特定的追蹤查詢，以識別諸如特權 Pod 部署之類的可疑活動。

例如，以下查詢可以檢測到特權容器的創建，這是加密貨幣挖礦操作的一個常見需求：

CloudAuditEvents
where Timestamp > ago(1d)
where DataSource == “Azure Kubernetes Service”
where OperationName == “create”
where RawEventData.ObjectRef.resource == “pods”
where RawEventData.ResponseStatus.code startswith “20”
extend PodName = RawEventData.RequestObject.metadata.name
extend PodNamespace = RawEventData.ObjectRef.namespace
mv-expand Container = RawEventData.RequestObject.spec.containers
extend ContainerName = Container.name
where Container.securityContext.privileged == “true”

針對 Kubernetes 環境的攻擊路徑展示了威脅行為者是如何從初始訪問逐步發展到部署加密貨幣挖礦操作的。

建議各組織實施強大的安全措施，包括適當的身份驗證控制、網絡流量限制，以及對容器化環境進行持續監控，以便在這些威脅建立起加密貨幣挖礦操作之前就識別并緩解它們。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！