攻击者滥用 Kubernetes RBAC 部署持久化后门

云安全公司 Aqua Security 警告说，已经观察到威胁行为者滥用 Kubernetes 基于角色的访问控制 (RBAC) 创建后门并劫持集群资源以进行加密货币挖掘。

称为RBAC Buster，这种类型的 Kubernetes 攻击利用 API 服务器获得对受感染集群的完全访问并实现持久性。

Aqua 报告说，对于初始访问，威胁行为者正在利用配置错误的 API 服务器，该服务器接受“来自具有特权的匿名用户的未经身份验证的请求”。

在发出多次请求后，攻击者能够检索机密并收集有关集群的信息，创建一个名为“kube-controller”的新部署，并试图删除几个现有部署，这可能会阻止竞争对手的恶意活动。

接下来，我们看到攻击者利用 RBAC 进行持久化，包括创建一个具有接近管理员级别权限的集群角色和一个名为“kube-system”命名空间中名为“kube-controller”的服务帐户，并将集群角色与服务绑定帐户。

Aqua 解释说，通过设置看起来合法的集群角色绑定，攻击者可以躲在雷达之下，同时确保他们对集群的访问是持久的，即使匿名用户访问被禁用也是如此。

这家网络安全公司观察了对他们的一个蜜罐的攻击，其中 AWS 访问密钥暴露在不同的位置，并发现，在攻击者破坏集群几天后，密钥被用来扩展访问。

“然后，攻击者创建了一个 DaemonSet，通过单个 API 请求在所有节点上部署容器。DaemonSet 创建请求对象包含容器映像“kuberntesio/kube-controller:1.0.1”，托管在公共注册表 Docker Hub 上。对集群的影响是资源劫持，”Aqua 说。

自五个月前上传以来，该容器镜像已被拉取超过 14,000 次，Aqua 还确定了另外 60 个暴露的 Kubernetes 集群，这些集群是该活动的一部分。

攻击的目的是劫持资源以开采门罗币，攻击者似乎已经从一名工人那里开采了至少 5 个硬币。

Aqua 还指出，容器镜像“kuberntesio/kube-controller”使用域名仿冒来冒充合法的“kubernetesio”帐户，同时还模仿了“kube-controller-manager”，这是一种流行的容器镜像，在每个节点上运行以识别和帮助响应节点故障。

原文始发于微信公众号（祺印说信安）：攻击者滥用 Kubernetes RBAC 部署持久化后门