為了滲透云環境，teamtnt已將合法的weave scope軟件添加到其攻擊工具包中。根據網絡安全公司intezer和microsoft本周發布的最新研究，這可能是weave scope首次被納入基于云的攻擊中。
teamtnt此前曾與針對docker和kubernetes裝置的攻擊有關。上個月，威脅參與者連接到一個加密貨幣挖掘僵尸網絡，該網絡能夠從服務器竊取aws證書。已知該組織還將惡意docker圖像上載到docker hub。
微軟表示，8月中旬發現的惡意圖片是從一個過去的攻擊中沒有的存儲庫中部署的。一個docker映像，特別是pause-amd64:3.3，連接到一個位于德國的服務器，該服務器包含惡意腳本和該組使用的其他工具。
但是，該小組的最新發展是濫用weave scope。
weave works的weave scope是適用于docker、kubernetes、分布式云操作系統（dc/os）和aws elastic compute cloud（ecs）的開源可視化和監視軟件，使用戶可以觀察云環境中容器的運行過程和網絡連接通過專用界面。該軟件還允許管理員以root身份在群集中運行shell，并且默認情況下不需要身份驗證。
盡管teamtnt是一種有價值且合法的工具，但它利用云服務配置錯誤和通過端口4040授予的開放訪問的優勢將軟件部署為后門。
微軟說：“我們看到集群管理員允許對該接口以及其他類似服務的公共訪問。攻擊者，包括這個小組[teamtnt]，都利用了這種錯誤配置，并使用公共訪問權來入侵kubernetes集群。”
為了安裝weave scope，teamtnt將首先嘗試查找公開的docker api。如果發現一個，將創建一個使用干凈的ubuntu映像的新特權容器，以及通過主文件系統掛載以及加載和執行加密貨幣礦工的說明。
攻擊鏈的下一階段涉及在主機服務器上設置本地特權用戶，以通過ssh重新連接并安裝weave scope。
研究人員說：“攻擊者安裝此工具是為了映射受害者的云環境并執行系統命令，而無需在服務器上部署惡意代碼。據我們所知，這是攻擊者首次使用合法的第三方軟件來瞄準云基礎架構。”
從本質上講，這使weave scope可以充當云安裝的后門，并賦予攻擊者監視系統，安裝應用程序，使用計算資源以及啟動，停止或打開容器中shell的能力。
techrepublic：中小型企業如何克服網絡安全中的關鍵挑戰
由于teamtnt利用常見的docker錯誤配置導致通過端口4040暴露的優勢，研究人員建議系統管理員阻止對該端口的傳入連接，并可能考慮對云基礎架構啟用零信任安全實踐。
微軟評論說：“配置錯誤的服務似乎是對kubernetes集群的攻擊中最流行和最危險的訪問媒介之一。”

無法訪問這云主機隔三差五無法訪問
云服務器怎么裝sql
.ts文件?關于.ts文件詳情匯總
阿里神龍云服務器配置是什么
云立方服務器租用廣州三線機房
手機沒有聲音了是怎么回事 手機一切聲音都沒了的解決教程
淺析:網站域名和網站排名有關系嗎?
如何選擇好的域名？有什么技巧？