研究人员发现了一种新的恶意软件，其设计目的是破坏Windows容器以到达Kubernetes集群。 

这种被称为Siloscape的恶意软件被认为是不寻常的，因为恶意软件通常是针对Linux作为管理云应用程序和环境的流行操作系统而设计的。 

根据帕洛阿尔托网络公司https://unit42.paloaltonetworks.com/siloscape/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>今年3月首次发现的Siloscape第42单元之所以被命名为Siloscape，是因为它的总体目标是通过服务器思洛存储器逃离Windows容器

在周一的一篇博客文章中，网络安全研究人员说，Siloscape使用Tor代理和一个.onion域连接到它的指挥与控制（C2）服务器，被威胁参与者用来管理他们的恶意软件、数据外泄和发送命令。 

这个被标记为CloudMalware.exe的恶意软件以Windows容器为目标——使用服务器而不是Hyper-V隔离--  并将利用尚未修补的已知漏洞对服务器、网页或数据库发起攻击。 

然后，Siloscape将尝试使用各种Windows容器转义技术（如模拟容器映像服务CExecSvc.exe）在容器的底层节点上实现远程代码执行（RCE），以获取SeTcbPrivilege权限

“Siloscape模仿CExecSvc.exe的特权，模拟它的主线程，然后在一个新创建的符号链接上调用ntsetinformationsymbolicink来脱离容器，”第42单元说更具体地说，它将其本地容器化的X驱动器链接到主机的C驱动器。“

如果恶意软件能够逃脱，它将尝试创建恶意容器，窃取在受损群集中运行的应用程序的数据，或者将装载加密货币矿工，利用系统的资源秘密开采加密货币，并在活动未被发现的情况下为运营商赚取利润。 

这些恶意软件的开发人员已经确保了大量的模糊处理——到了只在运行时清除函数和模块名称的程度——以隐藏自身并使逆向工程变得更加困难。此外，恶意软件还使用一对密钥来解密C2服务器的密码，这些密钥被怀疑是为每次独特的攻击生成的。 

“硬编码密钥使每个二进制文件与其他文件略有不同，这就是为什么我在任何地方都找不到它的散列，”研究指出这也使得仅仅通过散列就无法检测Siloscape。”

第42分队设法进入指挥与控制系统，确定了总共23名活动受害者，以及总共313名受害者，这些受害者可能在过去一年的战役中受到保护。然而，仅仅过了几分钟，研究人员的出现就被注意到了，他们被踢出了服务器，服务被停用了——至少，在这个.onion地址。 

如果将容器化作为安全边界的一种形式，而不是依赖于标准的Windows容器，那么微软建议部署Hyper-V容器。第42单元补充说，Kubernetes集群应该正确配置，并且不应该允许节点权限单独足以创建新的部署。 

以前及相关报道https://www.zdnet.com/article/perfect-storm-fraud-is-skyrocketing-coming-out-of-pandemic/“target=”\u blank“>完美风暴：大流行中的欺诈行为正在急剧上升

Necro Python bot用新的VMWare改造，服务器利用https://www.zdnet.com/article/fbi-doj-to-treat-ransomware-attacks-with-similar-priority-as-terrorism/“target=”\u blank“>联邦调查局，司法部将把勒索软件攻击视为与恐怖主义具有同等优先权的攻击，有消息吗？通过WhatsApp安全联系，电话：+447713 025 499，或超过Keybase:charlie0

Necro Python bot用新的VMWare改造，服务器利用

诺顿360杀毒用户的一个新惊喜功能：您可以通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener nore