近日,云安全公司Aqua發(fā)現(xiàn)了一個大規(guī)模的加密貨幣挖礦活動�����,攻擊者利用Kubernetes(K8s)基于角色的訪問控制(RBAC)來創(chuàng)建后門并運行挖礦惡意軟件���。該活動被研究者命名為RBAC Buster���,專家指出,這些攻擊正在野外攻擊至少60個集群����。
“我們最近發(fā)現(xiàn)了有史以來首個利用Kubernetes(K8s)基于角色的訪問控制(RBAC)來創(chuàng)建后門的挖礦活動�����,”Aqua發(fā)布的報告寫道:“攻擊者還部署了DaemonSets來接管和劫持他們攻擊的K8s集群的資源����。”
攻擊鏈從配置錯誤的API服務(wù)器的初始訪問開始�����,然后攻擊者會發(fā)送一些HTTP請求來列出機密信息,然后發(fā)出兩個API請求����,通過列出“kube-system”命名空間中的實體來獲取有關(guān)集群的信息。
攻擊者還會檢查受感染服務(wù)器上競爭礦工惡意軟件的證據(jù)�����,并使用RBAC設(shè)置來實現(xiàn)持久駐留����。
Aqua的研究人員設(shè)置了K8s蜜罐對該活動進(jìn)行研究,在所設(shè)置的集群的不同位置公開暴露AWS訪問密鑰�����。結(jié)果顯示�����,攻擊者會使用訪問密鑰來嘗試進(jìn)一步訪問目標(biāo)的云服務(wù)提供商帳戶�����,并試圖獲得更多資源的訪問權(quán)限。
攻擊者創(chuàng)建了DaemonSet����,以使用單個API請求在所有節(jié)點上部署容器。容器鏡像“kuberntesio/kube-controller:1.0.1”托管在公共Docker Hub上����。
專家們發(fā)現(xiàn),自五個月前上傳以來����,該Docker鏡像被拉取了14399次。
“名為‘kuberntesio’的容器賬戶仿冒了合法帳戶‘kubernetesio’�����,累積拉?����。≒ull)已經(jīng)高達(dá)數(shù)百萬次����,盡管該賬戶只有幾十個容器鏡像���?����!眻蟾婵偨Y(jié)道:“該賬戶下的鏡像(‘kuberntesio/kube-controller’)還仿冒了流行的‘kube-controller-manager’容器鏡像�����,后者是控制平面的關(guān)鍵組件����,在每個主節(jié)點上的Pod內(nèi)運行,負(fù)責(zé)檢測和響應(yīng)節(jié)點故障����。”
參考鏈接:
https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters
聲明:本文來自GoUpSec�����,版權(quán)歸作者所有�����。文章內(nèi)容僅代表作者獨立觀點����,不代表安全內(nèi)參立場�����,轉(zhuǎn)載目的在于傳遞更多信息����。如有侵權(quán)����,請聯(lián)系 anquanneican@163.com。
