云安全公司 Aqua Security 警告说,已经观察到威胁行为者滥用 Kubernetes 基于角色的访问控制 (RBAC) 创建后门并劫持集群资源以进行加密货币挖掘。
称为RBAC Buster,这种类型的 Kubernetes 攻击利用 API 服务器获得对受感染集群的完全访问并实现持久性。
Aqua 报告说,对于初始访问,威胁行为者正在利用配置错误的 API 服务器,该服务器接受“来自具有特权的匿名用户的未经身份验证的请求”。
在发出多次请求后,攻击者能够检索机密并收集有关集群的信息,创建一个名为“kube-controller”的新部署,并试图删除几个现有部署,这可能会阻止竞争对手的恶意活动。
接下来,我们看到攻击者利用 RBAC 进行持久化,包括创建一个具有接近管理员级别权限的集群角色和一个名为“kube-system”命名空间中名为“kube-controller”的服务帐户,并将集群角色与服务绑定帐户。
Aqua 解释说,通过设置看起来合法的集群角色绑定,攻击者可以躲在雷达之下,同时确保他们对集群的访问是持久的,即使匿名用户访问被禁用也是如此。
这家网络安全公司观察了对他们的一个蜜罐的攻击,其中 AWS 访问密钥暴露在不同的位置,并发现,在攻击者破坏集群几天后,密钥被用来扩展访问。
“然后,攻击者创建了一个 DaemonSet,通过单个 API 请求在所有节点上部署容器。DaemonSet 创建请求对象包含容器映像“kuberntesio/kube-controller:1.0.1”,托管在公共注册表 Docker Hub 上。对集群的影响是资源劫持,”Aqua 说。
自五个月前上传以来,该容器镜像已被拉取超过 14,000 次,Aqua 还确定了另外 60 个暴露的 Kubernetes 集群,这些集群是该活动的一部分。
攻击的目的是劫持资源以开采门罗币,攻击者似乎已经从一名工人那里开采了至少 5 个硬币。
Aqua 还指出,容器镜像“kuberntesio/kube-controller”使用域名仿冒来冒充合法的“kubernetesio”帐户,同时还模仿了“kube-controller-manager”,这是一种流行的容器镜像,在每个节点上运行以识别和帮助响应节点故障。
原文始发于微信公众号(祺印说信安):攻击者滥用 Kubernetes RBAC 部署持久化后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论