通过 Kubeflow 实例瞄准 Kubernetes 集群的密币挖掘攻击

这次攻击活动涉及在Kubernetes 集群上部署 TensorFlow pod，pod 运行源自 Docker Hub 官方账户的合法 TensorFlow 镜像。然而，容器镜像配置为执行恶意命令以挖掘密币。微软表示，5月底部署激增。

Kubeflow 是一款开源机器学习平台，旨在在 Kubernetes 上部署机器学习工作流。部署本身可通过 Kubeflow 完成，通过部署在集群中的控制板暴露其 UI 功能。微软从攻击中发现，攻击者利用集中式仪表板作为入口点来创建管道，运行执行密币挖掘任务的 TensorFlow 镜像。

微软资深安全研究工程师 Yossi Weizman 在报告中指出，“多种集群上的部署爆发是同时发生的，这说明攻击者提前扫描了这些集群并维护了一份潜在目标清单，这些目标之后同时遭攻击。”

这次入侵事件和微软 Azure Security Center 在去年四月观察到的类似攻击吻合，后者滥用暴露在互联网上的 Kubeflow 仪表盘部署后门容器，实施密币挖掘。Weizman 表示，目前尚未有证据表明这两起攻击活动由同样的威胁人员发起。

这起攻击活动据称使用了两个不同的 TensorFlow 镜像，标签是 “lastest” 和 “latest-gpu”，以运行恶意代码。利用合法的 TensorFlow 镜像也是一种避免检测的聪明设计，原因是在基于机器学习的工作负载中TensorFlow 容器很常见。

另外，微软表示攻击者能够利用这些镜像，通过 CUDA 运行 GPU 任务，从而使攻击者 “将从主机的挖矿利益最大化”。Weizman 表示，“作为攻击流的一部分，攻击者还能够部署侦察容器，查询环境信息如 GPU 和 CPU 信息，为挖矿做准备。”几天前，Palo Alto Networks 的 Unit 42 威胁情报团队披露了一款新型恶意软件 Siloscope，通过 Windows 容器攻陷 Kubernetes 集群。

建议运行 Kubeflow 的用户确保该集中式仪表板未被不安全地暴露到互联网，如果必须披露，则要求具备认证保护。

微软还发布了 Kubernetes 的威胁矩阵，以便更好地理解容器化环境的攻击面并协助组织机构识别防御差距，使 Kubernetes 免受威胁。

今年4月初，微软和威胁情报防御中心的其他成员联合发布 ATT&CK 容器矩阵。该矩阵构建于 Kubernets 威胁矩阵之上，检测“和容器相关的风险，包括通常为首个攻击向量的错误配置，以及在野的具体攻击技术实现。”