首個利用K8s RBAC的大規模挖礦活動
近日,云安全公司Aqua發現了一個大規模的加密貨幣挖礦活動,攻擊者利用Kubernetes(K8s)基于角色的訪問控制(RBAC)來創建后門并運行挖礦惡意軟件。該活動被研究者命名為RBAC Buster,專家指出,這些攻擊正在野外攻擊至少60個集群。
“我們最近發現了有史以來首個利用Kubernetes(K8s)基于角色的訪問控制(RBAC)來創建后門的挖礦活動,”Aqua發布的報告寫道:“攻擊者還部署了DaemonSets來接管和劫持他們攻擊的K8s集群的資源。”
攻擊鏈從配置錯誤的API服務器的初始訪問開始,然后攻擊者會發送一些HTTP請求來列出機密信息,然后發出兩個API請求,通過列出“kube-system”命名空間中的實體來獲取有關集群的信息。
攻擊者還會檢查受感染服務器上競爭礦工惡意軟件的證據,并使用RBAC設置來實現持久駐留。
Aqua的研究人員設置了K8s蜜罐對該活動進行研究,在所設置的集群的不同位置公開暴露AWS訪問密鑰。結果顯示,攻擊者會使用訪問密鑰來嘗試進一步訪問目標的云服務提供商帳戶,并試圖獲得更多資源的訪問權限。
攻擊者創建了DaemonSet,以使用單個API請求在所有節點上部署容器。容器鏡像“kuberntesio/kube-controller:1.0.1”托管在公共Docker Hub上。
專家們發現,自五個月前上傳以來,該Docker鏡像被拉取了14399次。
“名為‘kuberntesio’的容器賬戶仿冒了合法帳戶‘kubernetesio’,累積拉取(Pull)已經高達數百萬次,盡管該賬戶只有幾十個容器鏡像。”報告總結道:“該賬戶下的鏡像(‘kuberntesio/kube-controller’)還仿冒了流行的‘kube-controller-manager’容器鏡像,后者是控制平面的關鍵組件,在每個主節點上的Pod內運行,負責檢測和響應節點故障。”
