近日，云安全公司Aqua發(fā)現(xiàn)了一個(gè)大規(guī)模的加密貨幣挖礦活動(dòng)，攻擊者利用Kubernetes（K8s）基于角色的訪問控制（RBAC）來創(chuàng)建后門并運(yùn)行挖礦惡意軟件。該活動(dòng)被研究者命名為RBAC Buster，專家指出，這些攻擊正在野外攻擊至少60個(gè)集群。

“我們最近發(fā)現(xiàn)了有史以來首個(gè)利用Kubernetes（K8s）基于角色的訪問控制（RBAC）來創(chuàng)建后門的挖礦活動(dòng)，”Aqua發(fā)布的報(bào)告寫道：“攻擊者還部署了DaemonSets來接管和劫持他們攻擊的K8s集群的資源?！?

攻擊鏈從配置錯(cuò)誤的API服務(wù)器的初始訪問開始，然后攻擊者會(huì)發(fā)送一些HTTP請求來列出機(jī)密信息，然后發(fā)出兩個(gè)API請求，通過列出“kube-system”命名空間中的實(shí)體來獲取有關(guān)集群的信息。

攻擊者還會(huì)檢查受感染服務(wù)器上競爭礦工惡意軟件的證據(jù)，并使用RBAC設(shè)置來實(shí)現(xiàn)持久駐留。

Aqua的研究人員設(shè)置了K8s蜜罐對該活動(dòng)進(jìn)行研究，在所設(shè)置的集群的不同位置公開暴露AWS訪問密鑰。結(jié)果顯示，攻擊者會(huì)使用訪問密鑰來嘗試進(jìn)一步訪問目標(biāo)的云服務(wù)提供商帳戶，并試圖獲得更多資源的訪問權(quán)限。

攻擊者創(chuàng)建了DaemonSet，以使用單個(gè)API請求在所有節(jié)點(diǎn)上部署容器。容器鏡像“kuberntesio/kube-controller：1.0.1”托管在公共Docker Hub上。

專家們發(fā)現(xiàn)，自五個(gè)月前上傳以來，該Docker鏡像被拉取了14399次。

“名為‘kuberntesio’的容器賬戶仿冒了合法帳戶‘kubernetesio’，累積拉?。≒ull）已經(jīng)高達(dá)數(shù)百萬次，盡管該賬戶只有幾十個(gè)容器鏡像?！眻?bào)告總結(jié)道：“該賬戶下的鏡像（‘kuberntesio/kube-controller’）還仿冒了流行的‘kube-controller-manager’容器鏡像，后者是控制平面的關(guān)鍵組件，在每個(gè)主節(jié)點(diǎn)上的Pod內(nèi)運(yùn)行，負(fù)責(zé)檢測和響應(yīng)節(jié)點(diǎn)故障。”

參考鏈接：

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

聲明：本文來自GoUpSec，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系 anquanneican@163.com。