neargle-腾讯- 服务网格中的攻击 - Public（37页）.pdf

1、姓名姓名Neargle 腾讯蓝军高级研究员Attack in a Service MeshAttack in a Service MeshAboutAboutsecurity/force/About NeargleAbout Neargle腾讯蓝军腾讯蓝军 高高级级安全研究安全研究员员腾讯腾讯安全平台部安全平台部 安全工程安全工程师师 expectation would be,90%of Kubernetes users use Istio two years from now.You could argue the value you get from Istio is larger tha

2、n Kubernetes.Google Cloud CTO Urs HlzleTHANKSTHANKS几十万几十万级级 K8S 容器母机容器母机节节点点(截止到截止到12月初月初统计统计 kubelet 节节点数量点数量)内外部云原生内外部云原生产产品：品：TKE 容器服务蓝盾 DevOpsTKE Mesh 服务网格tRPC 服务治理网关/边缘/检测/观察/日志/名字服务等最复最复杂杂的多租的多租户户容器集群容器集群：.安全服务容器运行时流量监控红蓝对抗安全研究 等云原生容器集群安全演习的目标和模型演习之前，确认目标演习之前，确认目标AD域控制器（Domain Controller）.Agen

3、t Master、发布平台、自动化运维管控、跳板机、堡垒机.红队红队眼中的眼中的 Kubernetes APIServer:容器编排K8S总控组件pods,services,secrets,serviceaccounts,bindings,componentstatuses,configmaps,endpoints,events,limitranges,namespaces,nodes,persistentvolumeclaims,persistentvolumes,podtemplates,replicationcontrollers,resourcequotas.可控以上所有 k8s 资源

4、可获取几乎所有容器的交互式 shell利用一定技巧可获取所有容器母机的交互式 shell一般模型一般模型Node A其他节点入口Pod其他Pod入口容器其他容器Service BSKubernetes APIServer相邻Pod相邻容器ETCD/MasterNode/DashBorad/Image Registry.1)Public Network to container2)Container to other containers3)Container to current host(escape)4)Container to other nodes5)Container to apis

5、erver6)Node host to apiserver7)Node to master nodeExploit a RCE in container is hardExploit a RCE in container is hard1.任意文件代码写入的利用难度提升.No running/usr/sbin/cron-fNo running/usr/sbin/sshd-D.2.获取的Shell可能在生命周期受限的 serverless 环境.3.集群内的网络控制更加容易和智能(networkpolicy/service mesh)出网需求减少的生产环境，出网率 4/1加剧反序列化的利用难度，

6、多个gadget失效服务级、细粒度、多维度的网络管控和治理4.Bind shell、bind proxy、port knocking 等技巧不再有效But in the containerBut in the containerpostgres=#COPY cmd_exec FROM PROGRAM ps auxf;postgres=#COPY cmd_exec FROM PROGRAM cat/proc/1/cgroup;postgres=#SELECT*FROM cmd_exec;cmd_output-USER PID%CPU%MEM VSZ RSS TTY STAT START TIME