Aqua Security, yeni 2022 Bulut Yerel Tehdit Raporunu kullanıma sunuyor. Kripto madenciliği kötü amaçlı yazılımı hala bir numara, ancak arka kapılar ve solucanlar şimdiden tüm saldırıların yarısından fazlasını oluşturuyor. Saldırganlar, Kubernetes'i ve yazılım tedarik zincirini giderek daha fazla hedef alıyor.
Bulut yerel güvenliğinde lider olan Aqua Security, 2022 Bulut Yerel Tehdit Raporunu yayınladı: İzleme Yazılımı Tedarik Zinciri ve Kubernetes Saldırıları ve Teknikleri çalışması. Çalışma, Aqua Security'nin yerel bulut teknolojisinde uzmanlaşmış araştırma birimi Team Nautilus tarafından hazırlandı ve uygulayıcılara bulut yerel tehdit ortamı hakkında eğilimler ve temel öğrenmeler hakkında içgörü sağlamayı amaçlıyor.
Diğer şeylerin yanı sıra soruşturma, saldırganların özellikle bulut tabanlı ortamları hedeflemek için giderek artan bir şekilde yeni taktikler, teknikler ve süreçler kullandığını ortaya çıkardı. Saldırganlar ayrıca giderek daha fazla sayıda saldırı bileşeni kullanıyor ve dikkatlerini giderek artan bir şekilde Kubernetes'e ve yazılım tedarik zincirine çeviriyor.
Akılda kripto madenciliğinden daha fazlası
Kripto madencileri hâlâ en sık gözlemlenen kötü amaçlı yazılım olsa da, Team Nautilus arka kapılar, rootkit'ler ve kimlik bilgisi hırsızlarının artan sıklıkla kullanıldığını keşfetti. Bunlar, davetsiz misafirlerin akıllarında kripto madenciliğinden daha fazlasının olduğunun işaretleridir. Bir tehdit aktörünün bir sisteme uzaktan erişmesine ve güvenliği ihlal edilmiş ortamda kalmasına izin veren arka kapılar, saldırıların yüzde 54'ünde bulundu. Bu, aynı 9 anketinden yüzde 2020 daha fazlaydı.Ayrıca, araştırmacılar tarafından analiz edilen kötü amaçlı kapsayıcı görüntülerinin yarısı (yüzde 51), saldırganların minimum çabayla saldırılarının kapsamını genişletmelerine olanak tanıyan solucanlar içeriyordu.
Burada da 10 yılına göre yüzde 2020 gibi ciddi bir artış kaydedildi. Özellikle, tehdit aktörleri hedeflerini CI/CD ve Kubernetes ortamlarına genişletti. 2021'de, bir önceki yıla göre yüzde 19 artışla, kubelet'ler ve API sunucuları dahil olmak üzere, hedeflenen Kubernetes'i analiz eden kötü amaçlı konteyner görüntülerinin yüzde 9'u.
Çalışmanın diğer önemli sonuçları
- Kubernetes UI araçlarının silahlandırılmasının daha geniş bir şekilde benimsenmesi de dahil olmak üzere, Kubernetes'e yönelik gözlemlenen saldırıların oranı ve çeşitliliği arttı.
- Tedarik zinciri saldırıları, genel görüntü kitaplıklarından alınan belirli görüntü örneklerinin yüzde 14'ünü oluşturuyor. Bu, bu saldırıların bulut yerel ortamlara saldırmak için etkili bir yöntem olmaya devam ettiğini göstermektedir.
- Log4j sıfır gün güvenlik açığı, vahşi ortamda hemen istismar edildi. Nautilus Ekibi, bilinen kötü amaçlı yazılım, dosyasız yürütme, ters kabuk yürütmeleri ve bellekten indirilen ve yürütülen dosyalar dahil olmak üzere birkaç kötü amaçlı teknik keşfetti. Bu, çalışma zamanı korumasına duyulan ihtiyacı vurgular.
- Araştırmacılar, grubun Aralık 2021'de emekli olduğunu açıklamasından sonra bile TeamTNT bal küpü saldırılarını gözlemledi. Ancak yeni bir taktik kullanılmadığı için grubun hala aktif olup olmadığı veya devam eden saldırıların otomatik bir saldırı altyapısından mı kaynaklandığı net değil. Ne olursa olsun, iş ekipleri bu tehditlere karşı önleyici tedbirler almaya devam etmelidir.
Kapsayıcı korumalı alan çözümü DTA kullanılıyor
🔎 Arka kapılar ve solucanlar artıyor - saldırganların aklında kripto madenciliğinden daha fazlası var (Resim: Aqua Security)
Aqua'nın ekibi Nautilus, vahşi doğadaki saldırıları araştırmak için bal küplerini kullandı. Ekip, yerel bulut uygulamalarına yönelik tedarik zinciri saldırılarını analiz etmek için DockerHub, NPM ve Python Paket Dizini gibi genel kayıt defterleri ve havuzlardan alınan görüntüleri ve paketleri inceledi. Nautilus Ekibi, her saldırıyı analiz etmek için Aqua'nın Dinamik Tehdit Analizi (DTA) ürününü kullandı. Aqua DTA, gizli kötü amaçlı yazılım barındırıp barındırmadıklarını belirlemek için kapsayıcı görüntülerinin davranışını dinamik olarak değerlendiren, sektörün ilk kapsayıcı sanal alan çözümüdür. Bu, kuruluşların statik kötü amaçlı yazılım tarayıcılarının algılayamadığı saldırıları belirlemesine ve azaltmasına olanak tanır.
Aqua Team Nautilus'ta Tehdit İstihbaratı ve Veri Analisti Lideri Assaf Morag, "Bu çalışmanın sonuçları, bulut tabanlı ortamların artık saldırganlar için bir hedef haline geldiği ve tekniklerin sürekli geliştiği gerçeğinin altını çiziyor" dedi. "Bir Kubernetes kümesinin geniş saldırı yüzeyi, tehdit aktörleri için caziptir ve içeri girdikten sonra saldırmak için kolay hedefler ararlar.
Bu raporun temel çıkarımı, saldırganların her zamankinden daha aktif olması ve artan sıklıkta uygulama, açık kaynak ve bulut teknolojisindeki güvenlik açıklarını hedeflemesidir. Güvenlik uzmanları, geliştiriciler ve DevOps ekiplerinin bulutta yerel olması için özel olarak oluşturulmuş güvenlik çözümleri araması gerekir. Proaktif ve önleyici güvenlik önlemlerinin uygulanması, daha güçlü güvenlik sağlar ve sonuçta tüm ortamları korur."
Aqua'nın Nautilus'taki ekibi, bulut ortamlarının güvenliğini sağlamak için çalışma zamanı güvenlik önlemlerinin, Kubernetes güvenliğine katmanlı bir yaklaşımın ve geliştirme aşamasında taramanın uygulanmasını önerir. Aqua Security'nin 2022 Bulut Yerel Tehdit Raporu ücretsiz olarak indirilebilir.
AquaSec.com'da daha fazlası
Aqua Güvenlik Hakkında Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.