Bulut Güvenliği , Konteynerleştirme ve Korumalı Alan Oluşturma , Uç Nokta Güvenliği
Saldırganlar, Kurbanların Kaynaklarını Çalmak İçin DaemonSet’leri Dağıttı
Prajeet Nair (@prajeetspeaks) •
22 Nisan 2023
Tehdit aktörleri, arka kapılar oluşturmak ve kripto para madencilerini çalıştırmak için Kubernetes Rol Tabanlı Erişim Kontrolünü vahşi ortamda kullanıyor.
Ayrıca bakınız: İsteğe Bağlı | Savunmasız mısınız? Siber Saldırılarda Korkutan Artış
Araştırmacılar, kurbanların kümelerinden kaynakları kaçırmak ve çalmak için DaemonSet’leri konuşlandırarak en az 60 Kubernetes kümesini hedef alan yakın tarihli bir kampanya gözlemledi.
Siber güvenlik firması Aqua Security’deki araştırmacılar, kalıcılık kazanmak için RBAC sistemini kullanan Kubernetes bal küplerine yönelik bir saldırıyı kaydettiklerini ve analiz ettiklerini söyledi.
Kubernetes Rol tabanlı erişim denetimi veya RBAC, bir kuruluş içindeki bireysel kullanıcıların rollerine dayalı olarak ağ erişimini kısıtlama yöntemidir.
Araştırmacılar bal küplerinde kümedeki çeşitli konumlardaki AWS erişim anahtarlarını açığa çıkardılar ve erişim anahtarlarının saldırgan tarafından bulut hizmeti sağlayıcı hesabına daha fazla erişmeye çalışmak ve daha fazla kaynak çalmak için saldırıdan yararlanmak amacıyla kullanıldığını belirten bir işaret aldılar. ve veriler.
Araştırmacılara göre, “Bulgular, yanlış yapılandırma risklerine ve büyük kuruluşların bile kümelerini korumanın önemini nasıl göz ardı ederek onları tek bir hatayla potansiyel felaketlere karşı savunmasız bırakabileceğine ışık tuttuğu için önemlidir.”
RBAC Buster adlı büyük ölçekli kampanya, saldırganların ayrıcalıklara sahip anonim kullanıcılardan gelen kimliği doğrulanmamış isteklere izin veren yanlış yapılandırılmış bir API sunucusundan yararlanarak ilk erişimi elde etmelerine olanak sağladı.
Araştırmacılar, “Saldırgan, sırları listelemek için birkaç HTTP isteği gönderdi ve ardından ‘kube-system’ ad alanındaki varlıkları listeleyerek küme hakkında bilgi elde etmek için iki API isteğinde bulundu” diyor.
Saldırganlar, saldırının uygulanıp uygulanmadığını doğrulamak için “kube-denetleyici” adlı belirli bir dağıtım aradı.
Oyuncular ayrıca “kube-secure-fhgxtsjh”, “kube-secure-fhgxt”, “api-proxy” ve “worker-deployment” dahil olmak üzere çeşitli ad alanlarındaki mevcut dağıtımları silmeyi denedi.
Araştırmacılar, saldırganların bu dağıtımları silerek, “kullanılabilir CPU’yu artırmak ve sunucu tükendiğinde keşfedilme şansını azaltmak için” eski kampanyaları veya rakiplerin kampanyalarını devre dışı bırakmaya çalıştıklarını varsaydıklarını söylüyorlar.
Saldırganlar daha sonra yönetici düzeyinde ayrıcalıklara sahip bir ClusterRole oluşturdu ve ayrıca “kube-system” ad alanında bir “ServiceAccount” “kube-denetleyici” oluşturdu.
Araştırmacılar, son aşamada, düşmanın “güçlü ve göze çarpmayan bir kalıcılık oluşturmak” için ClusterRole’u ServiceAccount’a bağlayan bir ClusterRoleBinding oluşturduğunu buldu.
Saldırganın kümeden daha fazla yararlanmasını sağlayan ve ‘küme yöneticisi’ rolünün yeni veya şüpheli bir kullanıcıya bağlanması sırasında her türlü algılamayı önleyen kalıcılık oluşturmasıyla. Bunu yaparken, bir alarm tetiklenir. Saldırganlar, tespit edilmekten kaçınmak için rolü API denetim günlükleriyle harmanlayarak akıllıca bir yol kullandı.
“Bu meşru görünen ClusterRoleBinding ‘system:controller:kube-controller’ ayarlanarak, saldırgan herhangi bir alarm vermeden radarın altında kalabilir.”
Saldırganlar daha sonra kapsayıcıları tek bir API isteğiyle tüm düğümlere dağıtmak için bir DaemonSet oluşturdu. Docker Hub genel kayıt defterinde barındırılan kuberntesio/kube-controller:1.0.1 üzerindeki kapsayıcı görüntüsü. Konteyner, beş ay önce yüklendiğinden beri 14.399 kez çekildi.
Daha fazla analiz, her kapsayıcı görüntüsünün ikili kube denetleyicisine sahip olduğunu ve VirusTotal’da bir kripto madenci olarak algılandığını ortaya çıkardı. Araştırmacılar, kapsayıcı görüntülerinin her biri için yapılandırma dosyalarını ortaya çıkarabildiler.
Cüzdan adresi ayrıca saldırganların 5 XMR madenciliği yaptığını ve bu madencilik hızında yılda 5 XMR daha kazanabileceklerini ortaya çıkardı – tek bir çalışandan yaklaşık 200 dolar.
“‘kuberntesio/kube-controller’ adlı kapsayıcı görüntüsü, meşru ‘kubernetesio’ hesabını taklit eden bir yazım hatası durumudur. Yalnızca birkaç düzine kapsayıcı görüntüsüne sahip olmasına rağmen milyonlarca çekme topladı. Görüntü aynı zamanda popüler ‘kube’yi taklit ediyor Araştırmacılar, kontrol düzleminin kritik bir bileşeni olan, her ana düğümde bir Bölme içinde çalışan, düğüm hatalarını algılamaktan ve bunlara yanıt vermekten sorumlu olan -denetleyici-yönetici’ kapsayıcı görüntüsü” diyor.
Görüntü, uygulayıcıları bunun bir kripto madencisi yerine meşru bir dağıtım olduğunu düşünmeleri için aldatabilecek, yaygın olarak kullanılan bir bileşendir. Araştırmacılar, “Sürekli çalışacak şekilde tasarlandığından, hiç kimse onun varlığını sorgulamaz” diyor.