微軟偵測到大規模鎖定K8S之挖礦攻擊

• 發布日期：109-04-08
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 微軟偵測到大規模鎖定K8S之挖礦攻擊https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16380

Kubernetes(又名K8S)係Google開發之開源系統，可協助IT與開發人員透過分散式叢集(Cluster)架構實現自動化部署、彈性擴充及管理容器化(Containerized)應用程式。

微軟近期發現針對Kubernetes叢集之新型態挖礦攻擊，該攻擊行為使用儀表板服務帳號(system:serviceaccount:kube-system:kubernetes-dashboard)於2小時內，將惡意容器部署於數十個Kubernetes叢集中。惡意容器使用放置於公開儲存庫(Repository)之映像檔kannix / monero-miner，執行XMRig挖礦程式以挖掘門羅幣(Monero)，並列舉儲存包含金鑰、Token及OAuth等Kubernetes Secret資訊，導致駭客可利用遭外洩之連結字串(Connection Strings)與密碼等資訊進行網路橫向移動(Lateral Movement)攻擊。

微軟指出駭客有三種方式可以利用Kubernetes儀表板進行攻擊，首先是攻擊者可掃描暴露於網際網路上之公開儀表板並加以利用，再者是攻擊者先存取叢集中之容器後，使用叢集內部網路直接存取儀表板，此內部存取連線為Kubernetes之預設配置，最後一種則是攻擊者利用雲端服務平台或叢集之合法憑證瀏覽儀表板。

此次微軟Azure安全中心掃描發現遭受攻擊之Kubernetes叢集，其儀表板都暴露於網際網路上，進而遭駭客利用作為媒介進行挖礦，因此微軟建議叢集管理者，勿將Kubernetes儀表板輕易暴露於網際網路。