云原生威胁报告 跟踪软件供应链与 Kubernetes 攻击 2022 年 4 月 目录 3 导言 3 主要发现 4 方法 5 所观察到的对云原生环境的攻击 5 攻击者采用更复杂的策略、技术和程序 6 注意力从 Docker 转向 Kubernetes 9 传统攻击策略正在攻击云环境 10 软件供应链开发持续性激增 13 Log4j 导致攻击者的圣诞节提前到来了 16 TeamTNT 一直保持活跃 , 引入新技术 , 然后突然解散了 , 事实果真如此吗 ? 21 结论 2022 云原生威胁报告 2 导言 制定抵御云原生环境的网络威胁的防御措施，需要及时了解攻击向量以及攻击者使用的策略、 技术和程序。Aqua Security 的 Nautilus 团队致力于发现针对云原生堆栈的新威胁和攻击。通过 对云威胁进行研究，我们希望能够制定新的方法和工具来解决这些问题。 本报告基于在野遭遇的实际攻击，介绍了 2021 年全年的观察和发现，向云原生安全领域的从业 者重点说明了最新趋势和要点。 主要发现 1 2 3 攻击变得更加复杂，攻击者的策略、技术和程序在快速发展。2021 年，54% 的攻击来自 后门病毒的攻击，比 2020 年上升 9 个百分点。蠕虫病毒的使用上升了 10 个百分点，占 总攻击的 51% ，而上一年为 41%。 我们还观察到涉及 rootkit、无文件执行和加载内核 模块的更为复杂的活动。 攻击者将注意力从 Docker 转向了 Kubernetes 和 CI/CD 流水线。 攻击者将目标扩大到了 CI/CD 环境和易受攻击的 Kubernetes 部署和应用。针对 Kubernetes 的攻击的比例和种 类有所增加。根据我们观察到的攻击，攻击 Kubernetes 环境的潜在恶意镜像数量增加了 10 个百分点，从 2020 年的 9% 增加到 2021 年的 19%。 供应链攻击占公共镜像库镜像样本的 14.3%*。供应链攻击仍然是攻击云原生环境的有效 途径。针对过去一年上传到全球最大镜像社区和库之一的 1,100 多个容器镜像的分析表 明，13% 的攻击与隐匿垃圾应用程序有关，例如加密货币挖矿软件，1.3% 与恶意软件有关。 * 请注意，此样本并非所有公共镜像库统计学意义上的样本量。 2022 云原生威胁报告 3 4 5 Log4j 零日安全漏洞被在野攻击恶意利用。 据估计，这个流行的日志库在全球有超过 1 亿个实例。在我们建立了一个蜜罐后，包括 Muhstik 和 Mirai 在内的一些最大的僵尸网络在几分钟内就开始瞄准它。我们检测到多种 恶意技术，包括已知的恶意软件、无文件执行、从内存中下载和执行的文件，以及反向 shell 执行。 TeamTNT 是破坏云原生环境最多产的攻击者，看上去解散了——但也许并没有。 TeamTNT 于 2021 年 12 月宣布解散，却在一个月后仍积极攻击我们的蜜罐只不过没有 用什么新的技术。目前尚不清楚正在进行的攻击是否来自之前遗留的自动攻击基础架构， 还是 TeamTNT 伪造了自己的解散，并继续展开积极的攻击。目前看上去某些命令和控 制服务器、第三方注册表和蠕虫病毒仍在运行并感染新的目标。 方法 为了调查在野攻击，Nautilus 团队广泛使用蜜罐来引诱攻击者并诱使他们在研究人员控制和监 控的环境中进行活动。这种方法使我们能够收集入侵指标，包括恶意文件、恶意网络通信、容 器逃逸迹象、恶意软件、加密货币挖矿活动、代码注入和后门病毒。 为了调查对云原生应用程序的供应链攻击，我们检查了 NPM 和 Python Package Index 等来自公 共仓库和代码库的镜像。来自联网设备搜索引擎 Shodan 的数据进一步补充了观察结果。 这些 数据扩展了我们对攻击的可见性，使我们能发现除蜜罐和沙箱环境外的攻击。 为了分析攻击，我们使用 Aqua 的动态威胁分析（DTA）工具。Aqua DTA 由我们的开源项目 Tracee 提供支持，它使用户能够在 Linux 环境下使用 eBPF 执行运行时安全和取证。 Aqua DTA 是业界首个容器沙箱解决方案，可动态评估容器镜像的行为，以确定运行镜像是否会 对组织构成任何威胁。它在一个安全且隔离的沙箱环境中运行容器镜像，监控其行为和网络通信。 Aqua DTA 使用 eBPF 技术来监控容器的行为，根据我们所确定的模式和指标来检测恶意和可疑 活动。 2022 云原生威胁报告 4 所观察到的对云原生环境的攻击 攻击者采用更复杂的策略、技术和程序 与过去几年无异，我们所遇到的绝大多数攻击来自加密货币挖矿软件，其中最常见的是 XMRig。 然而，虽然加密货币挖矿软件是我所观察到的最常见的恶意软件，但它并不是我们的惟一发现。 我们还发现后门病毒、rootkits 和凭证窃取程序被更频繁地使用，这些迹象表明，加密货币挖矿 软件并非入侵者的惟一计划。 2021 年，我们在大约 54% 的事件中遇到了后门病毒，比 2020 年的 45% 增加了 9 个百分点。 后门病毒允许攻击者远程访问系统，并用在在入侵环境中造成持久破坏。 我们还观察到恶意容器镜像中使用蠕虫病毒的情况有所增加。2021 年，在所有被分析的镜像中， 有 50% 以上的镜像含有蠕虫病毒，比 2020 年的 41% 增加了 10 个百分点。蠕虫病毒会自动寻 找网络中的薄弱系统并感染它们，而不需要攻击者的人工干预。蠕虫病毒使攻击者可以轻松扩 大其攻击范围。 2021 年后门病毒和蠕虫病毒的增长情况 60% 50% 40% 30% 45% 54% 41% 50% 20% 10% 0% 2022 云原生威胁报告 后门病毒 2020 蠕虫病毒 2021 5 Rootkits1 为攻击者提供对系统的特权访问，同时隐藏他们的存在。 rootkit 有两种主要类型：用 户空间 rootkit 和内核空间 rootkit。 前者在用户空间中运行，它们拦截和修改二进制文件对库的 调用。后者的风险更大，因为它们提供最宽松宽松的用户权限，并且可以控制所有系统进程。 在云原生环境中，攻击者可以在主机上执行 rootkit ，以隐藏恶意进程，并降低它们在逃离容器 化环境后被发现的机会。例如，rootkit 允许攻击者隐藏高 CPU 使用率，从而降低它们在进行加 密挖矿时被发现的机会。 将注意力从 Docker 转向 Kubernetes 在过去几年里，配置不当的 Docker API 是攻击者最热衷的目标。 为了找到易受攻击的目标，攻 击者使用了 Shodan 或 Censys 等公共搜索引擎，或 Masscan 等扫描工具。 在实践中，这些技 巧非常有效。攻击者检测到暴露的配置不当 Docker API 所需的中位时间仅为 56 分钟 2。 这些事实说明，即使是暂时的、最轻微的配置不当，也会使容器面临网络攻击的威胁。在 2021 年， 尽管被检测到的攻击活动略有减少，攻击者仍然持续对配置不当的 Docker API 发起攻击。取而 代之的是，攻击者扩大了他们的目标，涵盖了 CI/CD 和 Kubernetes 环境。 特别是，我们发现了 针 对 Kubernetes 环 境的攻击也一致增 加。 2021 年， 在 我 们 对 Kubernetes 攻 击 的 分 析 中，19% 为恶意容器镜像，包 括 kubelet 和 API 服 务器，而前一年仅为 9%。 攻击 Kubernetes 环境的恶意镜像 20% 18% 16% 19% 14% 12% 10% 8% 6% 4% 9% 2% 0% 参见 https://attack.mitre.org/techniques/T1014/ Aqua 的 Nautilus 团队，《对容器基础架构的野外攻击》 2020 2021 1 2 2022 云原生威胁报告 6 考虑到攻击者总是在寻找容易得手的目标，而 Kubernetes 集群的攻击面很广，这种攻击行为十 分有效。相比较于单个容器，一旦攻击者获得了初始访问权限，那么横向移动和持久化的可能 性就更大了。 武器化 Kubernetes UI 工具 在 2020 年 9 月，我们首次了解到，攻击者在使用 UI 工具来获取 Docker 和 Kubernetes 环境的 访问权限 3 。2021 年，我们观测到这种方法的采用变得更广泛了。 许 多 应 用 程 序 都 可 以 被 视 为 Kubernetes UI 工 具。 有 些 工 具， 例 如 cAdvisor 和 Kubernetes Operational View，仅提供对集群的可见性。而其他工具，例如 Weave Scope、Kubernetes Dashboard 和 Octant，还支持访问和控制。一旦遭到攻击者的利用，后者可能会导致严重的后果。 就像配置不当的 Docker API 为攻击者创造了入口点一样，暴露 Kubernetes UI 工具的不当配置 也是如此。攻击者只需应用技术以发现易受攻击的 Docker 实例的技术，就可以找到这些暴露的 工具。 例如，我们会使用 Shodan 来发现配置不当的 Kubernetes 仪表板，它们不需要用户身份验证， 这使得环境容易遭到利用。连接到此类环境的攻击者实现了全面可见性（图 3）、巨大的控制权（图 4）和对机密的访问权限（图 5）。 图 3 - 连接到暴 露的 Kubernetes 仪表板的攻击 者 获 得 了 对 Kubernetes 环境 的全面可见性。 3 参见《防止 Weave Scope 的恶意使用》[Weaveworks] 2022 云原生威胁报告 7 图 4 - 攻击者可以建立 shell 连接以打开运行中的 pod，并可以启动容器和更改部署。 图 5 - 攻击者也能轻松访问机密。此外，攻击者还可以通过其他方式造成破坏，例如更改 设置。并获得 Kubernetes 存储资源存储资源。 2022 云原生威胁报告 8 此外，攻击者还可以通过许多其他方式造成破坏，例如更改设置和获取 Kubernetes 存储资源。 对云服务进行强化和正确配置可以有效缩减潜在攻击，并防止配置不当的 Kubernetes UI 工具遭 到攻击。为了保护自己免受此类威胁，遵循 Kubernetes 安全最佳实践非常重要。 如果您已经在使用 Kubernetes UI 工具，我们建议确保它们无法被公开访问。 Aqua 的专家编写了几本关于 Kubernetes 安全和加固的指南，包括： 博客 10 大 Kubernetes 应用 安全加固技术 › 白皮书 加