Security Wine (бывший - DevSecOps Wine)

Threat Alert: Fileless Malware Executing in Containers

Команда Nautilus Team обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я рассказывал на DevOpsFest.

В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью UPX и ezuri, шифруя таким образом содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается руткит для сокрытия новых процессов.

В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.

Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент Tracee, который использует eBPF для отслеживания сисколов.

#k8s #ops #docker #attack

www.tgoop.com/sec_devops/382

3.5K viewsDenis Yakimov, edited  Dec 4, 2020 at 07:14

Threat Alert: Fileless Malware Executing in Containers

Команда Nautilus Team обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я рассказывал на DevOpsFest.

В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью UPX и ezuri, шифруя таким образом содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается руткит для сокрытия новых процессов.

В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.

Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент Tracee, который использует eBPF для отслеживания сисколов.

#k8s #ops #docker #attack

BY Security Wine (бывший - DevSecOps Wine)