首个利用K8s RBAC的大规模挖矿活动

近日,云安全公司Aqua发现了一个大规模的加密货币挖矿活动,攻击者利用Kubernetes(K8s)基于角色的访问控制(RBAC)来创建后门并运行挖矿恶意软件。该活动被研究者命名为RBAC Buster,专家指出,这些攻击正在野外攻击至少60个集群。

“我们最近发现了有史以来首个利用Kubernetes(K8s)基于角色的访问控制(RBAC)来创建后门的挖矿活动,”Aqua发布的报告写道:“攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。”

攻击链从配置错误的API服务器的初始访问开始,然后攻击者会发送一些HTTP请求来列出机密信息,然后发出两个API请求,通过列出“kube-system”命名空间中的实体来获取有关集群的信息。

攻击者还会检查受感染服务器上竞争矿工恶意软件的证据,并使用RBAC设置来实现持久驻留。

Aqua的研究人员设置了K8s蜜罐对该活动进行研究,在所设置的集群的不同位置公开暴露AWS访问密钥。结果显示,攻击者会使用访问密钥来尝试进一步访问目标的云服务提供商帐户,并试图获得更多资源的访问权限。

攻击者创建了DaemonSet,以使用单个API请求在所有节点上部署容器。容器镜像“kuberntesio/kube-controller:1.0.1”托管在公共Docker Hub上。

专家们发现,自五个月前上传以来,该Docker镜像被拉取了14399次。

“名为‘kuberntesio’的容器账户仿冒了合法帐户‘kubernetesio’,累积拉取(Pull)已经高达数百万次,尽管该账户只有几十个容器镜像。”报告总结道:“该账户下的镜像(‘kuberntesio/kube-controller’)还仿冒了流行的‘kube-controller-manager’容器镜像,后者是控制平面的关键组件,在每个主节点上的Pod内运行,负责检测和响应节点故障。”

参考链接:

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

前一篇大量二手企业级路由器暗藏敏感数据
后一篇周刊 | 网安大事回顾(2023.4.17—2023.4.23)