通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击
编译:奇安信代码卫士
这次攻击活动涉及在Kubernetes 集群上部署 TensorFlow pod,pod 运行源自 Docker Hub 官方账户的合法 TensorFlow 镜像。然而,容器镜像配置为执行恶意命令以挖掘密币。微软表示,5月底部署激增。
Kubeflow 是一款开源机器学习平台,旨在在 Kubernetes 上部署机器学习工作流。部署本身可通过 Kubeflow 完成,通过部署在集群中的控制板暴露其 UI 功能。微软从攻击中发现,攻击者利用集中式仪表板作为入口点来创建管道,运行执行密币挖掘任务的 TensorFlow 镜像。
微软资深安全研究工程师 Yossi Weizman 在报告中指出,“多种集群上的部署爆发是同时发生的,这说明攻击者提前扫描了这些集群并维护了一份潜在目标清单,这些目标之后同时遭攻击。”
这次入侵事件和微软 Azure Security Center 在去年四月观察到的类似攻击吻合,后者滥用暴露在互联网上的 Kubeflow 仪表盘部署后门容器,实施密币挖掘。Weizman 表示,目前尚未有证据表明这两起攻击活动由同样的威胁人员发起。
这起攻击活动据称使用了两个不同的 TensorFlow 镜像,标签是 “lastest” 和 “latest-gpu”,以运行恶意代码。利用合法的 TensorFlow 镜像也是一种避免检测的聪明设计,原因是在基于机器学习的工作负载中TensorFlow 容器很常见。
另外,微软表示攻击者能够利用这些镜像,通过 CUDA 运行 GPU 任务,从而使攻击者 “将从主机的挖矿利益最大化”。Weizman 表示,“作为攻击流的一部分,攻击者还能够部署侦察容器,查询环境信息如 GPU 和 CPU 信息,为挖矿做准备。”几天前,Palo Alto Networks 的 Unit 42 威胁情报团队披露了一款新型恶意软件 Siloscope,通过 Windows 容器攻陷 Kubernetes 集群。
建议运行 Kubeflow 的用户确保该集中式仪表板未被不安全地暴露到互联网,如果必须披露,则要求具备认证保护。
微软还发布了 Kubernetes 的威胁矩阵,以便更好地理解容器化环境的攻击面并协助组织机构识别防御差距,使 Kubernetes 免受威胁。
今年4月初,微软和威胁情报防御中心的其他成员联合发布 ATT&CK 容器矩阵。该矩阵构建于 Kubernets 威胁矩阵之上,检测“和容器相关的风险,包括通常为首个攻击向量的错误配置,以及在野的具体攻击技术实现。”
有人滥用 GitHub Actions在 GitHub 服务器挖掘密币,且正在蔓延
欧洲多国的超级计算机因被滥用于挖掘密币而关闭
https://thehackernews.com/2021/06/crypto-mining-attacks-targeting.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。