近日，云安全公司Aqua发现了一个大规模的加密货币挖矿活动，攻击者利用Kubernetes（K8s）基于角色的访问控制（RBAC）来创建后门并运行挖矿恶意软件。该活动被研究者命名为RBAC Buster，专家指出，这些攻击正在野外攻击至少60个集群。

“我们最近发现了有史以来首个利用Kubernetes（K8s）基于角色的访问控制（RBAC）来创建后门的挖矿活动，”Aqua发布的报告写道：“攻击者还部署了DaemonSets来接管和劫持他们攻击的K8s集群的资源。”

攻击链从配置错误的API服务器的初始访问开始，然后攻击者会发送一些HTTP请求来列出机密信息，然后发出两个API请求，通过列出“kube-system”命名空间中的实体来获取有关集群的信息。

攻击者还会检查受感染服务器上竞争矿工恶意软件的证据，并使用RBAC设置来实现持久驻留。

Aqua的研究人员设置了K8s蜜罐对该活动进行研究，在所设置的集群的不同位置公开暴露AWS访问密钥。结果显示，攻击者会使用访问密钥来尝试进一步访问目标的云服务提供商帐户，并试图获得更多资源的访问权限。

攻击者创建了DaemonSet，以使用单个API请求在所有节点上部署容器。容器镜像“kuberntesio/kube-controller：1.0.1”托管在公共Docker Hub上。

专家们发现，自五个月前上传以来，该Docker镜像被拉取了14399次。

“名为‘kuberntesio’的容器账户仿冒了合法帐户‘kubernetesio’，累积拉取（Pull）已经高达数百万次，尽管该账户只有几十个容器镜像。”报告总结道：“该账户下的镜像（‘kuberntesio/kube-controller’）还仿冒了流行的‘kube-controller-manager’容器镜像，后者是控制平面的关键组件，在每个主节点上的Pod内运行，负责检测和响应节点故障。”

参考链接：

https://blog.aquasec.com/leveraging-kubernetes-rbac-to-backdoor-clusters

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。