Siloscape, primer malware conocido dirigido a contenedores de Windows
Palo Alto Networks descubre malware muy ofuscado que afecta a clústeres de Kubernetes mal configurados y sus múltiples aplicaciones en la nube.
El malware ha llegado a los contenedores de Windows. Una investigación comandada por Palo Alto Networks terminó con la detección de Siloscape, bautizado así porque su objetivo es escapar del contenedor y por la implementación mediante silo de servidor en el sistema operativo de Microsoft.
Este descubrimiento es importante porque hasta ahora Unit 42, el equipo de inteligencia de amenazas de Palo Alto Networks, sólo había identificado software maligno dirigido a contenedores en Linux. Esto se explica por la popularidad de este sistema operativo open source en entornos de nube.
Tras este hallazgo es previsible que se comience a ver más malware dirigido a Windows, una plataforma que cada vez se usa cada vez más en entornos de contenedores.
Siloscape se caracteriza por ser un malware muy ofuscado que se dirige a clústeres de Kubernetes mal configurados que ejecutan múltiples aplicaciones en la nube a través de contenedores Windows, usando Server Containers en vez de Hyper-V.
Lo que busca es abrir una puerta trasera y ejecutar, entre otras posibles amenazas, criptojackers. Se sabe que utiliza el proxy Tor y un dominio .onion para conectarse de forma anónima al servidor de comando y control.
Siloscape aprovecha los recursos informáticos de un entorno Kubernetes para hacerse con los datos confidenciales de las aplicaciones que se ejecutan en clústeres comprometidos.
Por tanto, un atacante podría robar información sensible, desde nombres de usuario y contraseñas a archivos internos de una organización o bases de datos enteras.
A partir de ahí, sería posible lanzar nuevos ataques, como ransomware que secuestra información a cambio de un jugoso rescate.
Palo Alto Networks advierte de que Siloscape no se limita a acciones como la denegación de servicio o el propio secuestro de recursos. No tiene un único objetivo, lo que deja la situación abierta a todo tipo de actividades maliciosas.
Como muchas empresas usan los clústeres de Kubernetes como entornos de desarrollo y prueba, una violación de este tipo también podría acabar derivando en un ataque a la cadena de suministro de software.
Más de un año de vida
Este primer malware dirigido a contenedores de Windows y que acaba comprometiendo entornos en la nube ya cuenta con unas cuentas víctimas en su haber.
Los investigadores identificaron a más de una veintena de víctimas activas tras su descubrimiento y comprobaron que el servidor analizado alojaba a 313 usuarios en total, por lo que se concluye que Siloscape es sólo una pequeña parte de una campaña más amplia. La campaña lleva más de un año en curso.
Para mantenerse a salvo, los expertos recomiendan revisar la configuración cloud. La protección comienza por desplegar un entorno de nube seguro y gestionar el clúster de Kubernetes con cuidado.
También se aconseja no usar contenedores de Windows como medida de seguridad. La propia Microsoft apuesta directamente por los contenedores Hyper-V, ya que los procesos ejecutados en contenedores Windows Server tendrán privilegios de administrador.
Otra medida pasa por la implantación de soluciones de seguridad. Palo Alto Networks garantiza que su tecnología Prisma Cloud detecta y mitiga las acciones de Siloscape.