完美世界txt全集下载,好看的小说完本推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

K8s面臨三大新型攻擊

隨著技術(shù)的發(fā)展，K8s（Kubernetes）面臨的安全威脅也在快速演變。2023年涌現(xiàn)了一系列針對K8s的新型攻擊，例如Dero和Monero加密幣挖礦、猩紅鐵攻擊（Scarleteel）和RBAC-Buster攻擊等。此類攻擊通常以web應(yīng)用漏洞為入口，然后在K8s環(huán)境中橫向移動。

公司主營業(yè)務(wù)：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出徽州免費做網(wǎng)站回饋大家。

在即將到來的2024年，了解這些新型攻擊對于企業(yè)云安全和數(shù)據(jù)安全防護至關(guān)重要。以下，我們將詳細介紹這些新型攻擊如何開展，以及應(yīng)采取何種防御措施：

一、猩紅鐵攻擊

猩紅鐵攻擊（Scarleteel）的入口點是托管在K8s環(huán)境中的Jupyter筆記本web應(yīng)用，其目標是訪問云存儲中的加密敏感數(shù)據(jù)并挖掘加密貨幣。攻擊者還利用了一個名為Peirates的開源K8s滲透測試工具，以及一個名為Pacu的類似工具，用于尋找進入AWS云環(huán)境的開放入口。

在猩紅鐵攻擊中，攻擊者能夠在云環(huán)境中“絲滑”移動，從K8s托管的web應(yīng)用直接跳到云端，然后再回到K8s。而防御者卻往往沒有完整的攻擊鏈環(huán)境視圖，只能分別查看云安全、網(wǎng)絡(luò)應(yīng)用安全和K8s安全，然后努力拼湊整體攻擊行動和目標的視圖。

防御措施

如果你不使用Jupyter筆記本應(yīng)用，就不易受到此類攻擊影響。但還有許多其他可被利用的web應(yīng)用漏洞，因此，首先要確保修復(fù)可被攻擊者利用的特定云錯誤配置。如果你運行EKS，請查看IMDSv1和IMDSv2的安裝位置，并在攻擊發(fā)生之前讓藍隊用Peirates和Paco等滲透測試工具對K8s環(huán)境進行安全評估。

運行時功能可能會檢測到Pandora惡意軟件，但不會將它與云和K8s環(huán)境中發(fā)生的更廣泛的攻擊和活動聯(lián)系起來，因此它無法阻止整個攻擊。

二、Dero/Monero加密幣挖礦攻擊

在Dero幣挖礦攻擊中，攻擊者首先掃描Kubernetes API，查看身份驗證設(shè)置是否允許任何人匿名訪問，以及集群的RBAC配置是否允許在該集群中創(chuàng)建Pod。滿足這些條件后，攻擊者將部署Daemonset，利用集群中的惡意映像創(chuàng)建自己的Pod。

Monero幣挖礦攻擊的第一個步驟與Dero相同，然后，攻擊者會訪問Kubernetes API并刪除Dero Pod并通過Daemonset部署自己的特權(quán)Pod。特權(quán)Pod會嘗試掛載主機目錄以逃離容器，并下載可以隱藏礦工的rootkit。隨后，攻擊者開始在主機上安裝自定義挖礦服務(wù)。

與Dero攻擊不同，Monero挖礦攻擊涉及權(quán)限提升和容器逃逸技術(shù)，因此，特權(quán)Pod是K8s需要避免的最嚴重的安全問題之一。（由于K8s Pod安全標準的基準策略不允許特權(quán)Pod，因此默認配置下不太可能發(fā)生。）

但是，如果你運行EKS和Kubernetes v1.13及更高版本，則默認pod安全策略允許特權(quán)Pod。在EKS中，你必須刪除此策略才能啟用用戶自定義策略，這一額外步驟可能會增加你意外創(chuàng)建特權(quán)Pod的機會。

在Monero挖礦攻擊中，黑客利用最初的K8s錯誤配置后會產(chǎn)生大量運行時活動。鎖止這些活動可以防止惡意運行時擴散到其他Pod和集群。

禁止非法主機掛載路徑和錯誤配置導(dǎo)致的特權(quán)Pod是最重要的兩個預(yù)防措施。需要注意的是，如果你的KSPM(Kubernetes安全策略管理)是輪詢間隔的，那么你可能會錯過間隔之間的攻擊活動。

防范措施

如果發(fā)現(xiàn)攻擊，首要任務(wù)是控制爆炸半徑，因為攻擊是在K8s環(huán)境中實時發(fā)生的，而不是在運行時。如果你的運行時防護包括限制Monero幣挖礦的規(guī)則，可以阻止攻擊的最后一步，但不能阻止初始階段的入侵。

雖然大多數(shù)API設(shè)置都會禁止匿名訪問，但攻擊者往往能找到其他方式來入侵API。例如，惡意內(nèi)部人員可能會植入后門或挖礦軟件，開發(fā)人員可能無意中將服務(wù)帳戶令牌或kubeconfig文件簽入公共git存儲庫，從而使集群面臨風(fēng)險。

最重要的保護措施是防止從Daemonsets創(chuàng)建惡意工作負載。此外，監(jiān)測工具能發(fā)揮一定防護作用，因為許多加密幣挖礦行為是通過監(jiān)測意外流量峰值發(fā)現(xiàn)的。

由于此類攻擊會使用鏡像創(chuàng)建惡意Pod，因此設(shè)置一個阻止從不受信任鏡像來源創(chuàng)建工作負載的準入控制策略可以有效阻止攻擊。但需要注意的是，你要么必須全面執(zhí)行該策略，要么采用實時KSPM檢測解決方案來準確了解問題所在，然后在修復(fù)代碼中的配置時有針對性地使用準入控制器。

三、RBAC-Buster攻擊

配置錯誤的服務(wù)器會允許特權(quán)用戶發(fā)出未經(jīng)身份驗證的請求。在RBAC-Buster攻擊中，攻擊者為了在K8s環(huán)境中獲得立足點，會嘗試掃描配置錯誤的API服務(wù)器，然后通過特權(quán)訪問列出機密信息并并發(fā)現(xiàn)kube-system命名空間。

攻擊者會在命名空間中創(chuàng)建了一個擁有管理權(quán)限的新ClusterRole和一個新的服務(wù)帳戶，將兩者綁定在一起以并將ClusterRole的管理權(quán)限授予服務(wù)帳戶。

攻擊者會尋找AWS密鑰來訪問云服務(wù)提供商，然后使用Daemonset部署惡意Pod，使用容器映像在整個集群中進行加密幣挖礦。

此類攻擊的前提是：KubernetesAPI服務(wù)器不僅發(fā)生暴露，而且還接受特權(quán)用戶的請求。其余的攻擊都是通過這種特權(quán)訪問來進行的。

防范措施

為了橫向傳播，攻擊者使用與Dero挖礦活動中相同的Daemonset技術(shù)，這提醒我們要防止從Daemonsets創(chuàng)建惡意工作負載。防御者需要檢查API服務(wù)器配置并審核RBAC權(quán)限以防范此攻擊。

四、防止未來的攻擊

發(fā)現(xiàn)RBAC-Buster的團隊表示，他們發(fā)現(xiàn)60%的暴露集群中都至少有一個活躍的攻擊活動正在進行（雖然這并不意味著這些集群都處于暴露狀態(tài)）。顯然，攻擊者正在積極尋找漏洞、配置錯誤以及各種入侵K8s環(huán)境的方法。

大多數(shù)K8s集群都是“臨時集群”，可訪問時間窗口僅有數(shù)小時。今天的漏洞和暴露也許明天就會對攻擊者關(guān)閉。這也意味著如果你使用的輪詢間隔無法隨著時間的推移顯示這些變化，緩解措施將是一場噩夢。

在下一波攻擊到來之前，如果你僅依賴準入控制或運行時事件的逆向工程檢測，可能會導(dǎo)致無法檢測威脅，或者檢測太慢。你需要一個實時的、綜合的K8s風(fēng)險視圖。

最后，雖然縱深防御是K8s的最佳安全實踐方法，但如果縱深防御不能提供所有協(xié)作組件的綜合視圖，防御者仍然會落后于攻擊者一步。

網(wǎng)頁名稱：K8s面臨三大新型攻擊
鏈接URL：http://www.fisionsoft.com.cn/article/djspjoc.html

新聞中心

一、猩紅鐵攻擊

防御措施

二、Dero/Monero加密幣挖礦攻擊

防范措施

三、RBAC-Buster攻擊

防范措施

四、防止未來的攻擊

其他資訊

一、猩紅鐵攻擊

二、Dero/Monero加密幣挖礦攻擊

三、RBAC-Buster攻擊

四、防止未來的攻擊