Threat Alert: Fileless Malware Executing in Containers
Команда Nautilus Team
обнаружила образы в Docker Hub, которые могут разворачивать так называемый "безфайловый" вредоносный софт на хостах. Образы были созданы уже известной группировкой TeamTNT, про которую я
рассказывал на DevOpsFest.
В рамках атаки вредоносный образ на базе Busybox пытается развернуть на хосте малварь, которая упакована с помощью
UPX и
ezuri, шифруя, таким образом, содержимое. Все это создает сложности при определении вредоноса через AV. Далее запускается
руткит для сокрытия новых процессов.
В итоге получается, что вся вредоносная активность выполняется из памяти, что вынуждает идти по пути отслеживания run-time, а не проверки имаджей.
Тут, кстати, для меня было открытие, что оказывается Aqua выпустила недавно новый open-source инструмент
Tracee, который использует eBPF для отслеживания сисколов.
#k8s #ops #docker #attack
