Всем привет!
Недавно Aqua Security Research Team опубликовала отчет в своем блоге о новом типе атак на контейнеры - fileless malware attack. Опасность такого рода атаки в том что ее крайне трудно отследить и заблокировать выполнение, так как все неприятности происходят в оперативной памяти контейнера.
В случае fileless malware при запуске контейнера из образа запускается скрипт, распаковывающий несколько зашифрованных вредоносных файлов и подготавливающий среду для выполнения атаки.
Как устроена атака?
🍩 Скрипт распаковывает и загружает в память malware
🍩 Запускается rootkit для маскировки системных процессов
🍩 Один из маскированных процессов запускает дочерний процесс криптомайнинга
🍩 И еще один из процессов собирает и выгружает данные на удаленный сервер, организовывая backdoor
Фактически из исходного образа запускается всего один скрипт, а все остальное происходит уже в оперативной памяти.
Рекомендации специалистов, как не стать жертвой такой атаки не новы, но тем не менее способны усложнить жизнь атакующим:
🍩 Сканируйте все используемые образы, убедитесь что вы знакомы с ними и с их использованием, используйте минимальные привилегии, такие как "не работать под root и в привелегированных режимах"
🍩 Анализируйте активность в контейнерах, например при помощи Tracee (open source)
🍩 Анализируйте логи, особенно в части пользовательские действий и обращайте внимание на аномалии
Подробнее с техническим "мясцом" - в блоге Aqua:
https://blog.aquasec.com/fileless-malware-container-security
Недавно Aqua Security Research Team опубликовала отчет в своем блоге о новом типе атак на контейнеры - fileless malware attack. Опасность такого рода атаки в том что ее крайне трудно отследить и заблокировать выполнение, так как все неприятности происходят в оперативной памяти контейнера.
В случае fileless malware при запуске контейнера из образа запускается скрипт, распаковывающий несколько зашифрованных вредоносных файлов и подготавливающий среду для выполнения атаки.
Как устроена атака?
🍩 Скрипт распаковывает и загружает в память malware
🍩 Запускается rootkit для маскировки системных процессов
🍩 Один из маскированных процессов запускает дочерний процесс криптомайнинга
🍩 И еще один из процессов собирает и выгружает данные на удаленный сервер, организовывая backdoor
Фактически из исходного образа запускается всего один скрипт, а все остальное происходит уже в оперативной памяти.
Рекомендации специалистов, как не стать жертвой такой атаки не новы, но тем не менее способны усложнить жизнь атакующим:
🍩 Сканируйте все используемые образы, убедитесь что вы знакомы с ними и с их использованием, используйте минимальные привилегии, такие как "не работать под root и в привелегированных режимах"
🍩 Анализируйте активность в контейнерах, например при помощи Tracee (open source)
🍩 Анализируйте логи, особенно в части пользовательские действий и обращайте внимание на аномалии
Подробнее с техническим "мясцом" - в блоге Aqua:
https://blog.aquasec.com/fileless-malware-container-security