🦇Kubernetes常见攻击方式

概述

• 随着越来越多企业开始上云的步伐，在攻防演练碰到云相关的场景有：公有云、私有云、混合云、虚拟化集群。

• 以往渗透是从外网突破-> 提权 -> 权限维持 -> 信息收集 -> 横向移动 -> 循环收集信息获得重要目标系统。随着业务上云以及虚拟化技术的引入改变了这种格局，也打开了新的入侵路径。

1. 通过虚拟机攻击云管理平台，利用管理平台控制所有机器

2. 通过容器进行逃逸，从而控制宿主机以及横向渗透到K8s Master节点控制其上所有容器

3. 购买弹性虚拟主机-> KVM-QEMU/执行逃逸 -> 获取宿主机 -> 进入物理网络 -> 横向移动控制云平台

TeamTNT专门以Kubernetes为目标，近50000个IP受到攻击。受害者大多数来自于中国。

主要攻击人员方式：

• 黑产人员：批量扫描查找API Server未授权访问下载恶意镜像进行挖矿。

• 定向攻击：定向攻击的高级渗透，对整个容器较为了解，进行逃逸、横向移动、获取K8s控制权。

传统数据中心 VS 云容器化基础架构区别

容器化基本架构

• 进程提权

• 特权容器配置不当

• 管理控制台、弱口令、高危漏洞

• API接口、未授权访问、越权

Kubernetes攻击面

• Pod开放到互联网

• Pod对其它Pod或服务开放

• 从Pod向Node逃逸

• 从Pod攻击Master Node组件

• 从Pod攻击API Server

• 从API Server攻击其它Pods/Nodes

• 从K8s集群攻击云内的其它服务