Security Tips - Nuevo malware que afecta a contenedores de Windows

Siloscape es un malware ofuscado cuyo propósito principal es establecer una puerta trasera en clusters de Kubernetes mal configurados. 

Afectación

Su modus operandi es: 

1. Afecta a aplicaciones en la nube aprovechando vulnerabilidades conocidas.

2. Usa diversas técnicas para escapar del contenedor y conseguir ejecución remota de código. Para escapar del contenedor, Siloscape suplanta al hilo principal y luego llama a NtSetInformationSymbolicLink mediante un link simbólico nuevo con el que se enlaza un disco local (que se encuentra dentro de un contenedor) al disco C del equipo víctima. 

3. Después de intentar expandirse por todo el cluster, Siloscape establece una conexión anónima con el servidor C2, utilizando un proxy de Tor, para recibir instrucciones sobre lo que debe hacer a continuación. 

En el siguiente esquema se puede observar el funcionamiento del malware:

Referencias

• Una al Día - Siloscape: primer malware detectado para contenedores de Windows.