Meldung

Malware nimmt Kubernetes ins Visier

Sicherheitsforscher haben eine neue Malware-Kampagne entdeckt, die auf Kubernetes-Cluster abzielt. Ein Angreifer kann sich über ein falsch konfiguriertes Kubelet anonymen Zugang verschaffen und die Malware verteilen. Sobald sie in einem Kubernetes-Cluster Fuß gefasst hat, breitet sie sich über so viele Container wie möglich aus und startet schließlich Cryptojacking-Operationen.
Die neue Malware "Hildegard" hat es auf Kubernetes-Cluster abgesehen.
Palo Alto Networks hat die neue Malware auf den Namen "Hildegard" [1] getauft, den Benutzernamen des tmate-Kontos, das die Malware verwendete. Aufgrund der von den Angreifern eingesetzten Techniken gehen die Forscher davon aus, dass es sich um eine neue Kampagne von TeamTNT handelt. Dieses sei dafür bekannt, ungeschützte Docker-Daemons auszunutzen und bösartige Container-Images zu verteilen. Laut den Sicherheitsforschern ist es jedoch das erste Mal, dass die Bedrohungsgruppe auf Kubernetes-Umgebungen abzielt.

Im Gegensatz zu einer Docker-Engine, die auf einem einzigen Host läuft, enthält ein Kubernetes-Cluster in der Regel mehr als einen Host und jeder Host kann mehrere Container ausführen. Die Malware könne die reichlich vorhandenen Rechenressourcen in Kubernetes-Umgebungen für Cryptojacking nutzen und potenziell sensible Daten von Anwendungen, die in den Clustern laufen, exfiltrieren.

Zusätzlich zu den Tools und Domains, die in den früheren TeamTNT-Kampagnen identifiziert wurden, verfüge Hildegard über mehrere neue Fähigkeiten, die sie noch besser getarnt und hartnäckiger machen. Insbesondere haben die Forscher festgestellt, dass die Malware folgende Merkmale aufweist:

  • Sie nutzt zwei Wege, um Command-and-Control-Verbindungen herzustellen: einen tmate-Reverse-Shell- und einen Internet-Relay-Chat-Kanal.
  • Sie verwendet einen bekannten Linux-Prozessnamen (bioset), um bösartige Aktivitäten zu verschleiern.
  • Sie nutzt eine auf LD_PRELOAD basierende Library-Injection-Technik, ebenfalls, um bösartige Prozesse zu verbergen.
  • Sie verschlüsselt die bösartige Nutzlast innerhalb einer Binärdatei, um eine automatisierte statische Analyse zu erschweren.

Palo Alto Networks geht davon aus, dass sich die neue Malware-Kampagne noch in der Entwicklung befindet, da die Codebasis und die Infrastruktur unvollständig zu sein scheinen. Seit der ersten Entdeckung gab es keine weiteren Aktivitäten, was darauf hindeutet, dass derzeit erst die Phase der Erkundung und Bewaffnung stattfinden könnte.
9.02.2021/jm

Tipps & Tools

Google finanziert Sicherheitsspezialisten für Linux-Kernel [5.03.2021]

Die Linux Foundation stellt zwei langjährige Maintainer als neue hauptamtliche Sicherheitsspezialisten vor: Von Google finanziert sollen sich Gustavo Silva und Nathan Chancellor ausschließlich um die Sicherheit des Linux-Kernels sowie um damit verbundene Initiativen kümmern. [mehr]

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen