# Siloscape > Tipo: **malware** · S0623 · [MITRE ATT&CK](https://attack.mitre.org/software/S0623) ## Descrição [[s0623-siloscape|Siloscape]] é um malware pioneiro que visa clusters Kubernetes por meio de containers Windows - sendo o primeiro malware públicamente documentado específicamente projetado para escapar de containers Windows e comprometer o nó (node) subjacente e, por extensão, o cluster Kubernetes inteiro. Observado pela primeira vez em março de 2021 e divulgado pela Unit 42 da Palo Alto Networks, o [[s0623-siloscape|Siloscape]] representa uma evolução significativa nas ameaças a ambientes de cloud-native e container orchestration. O fluxo de ataque do [[s0623-siloscape|Siloscape]] começa com a exploração de vulnerabilidades em aplicações web ou servidores rodando dentro do container ([[t1190-exploit-public-facing-application|T1190]]), seguida pela técnica de container escape via abuse de pipes do Windows para sair do isolamento do container e ganhar acesso ao nó host ([[t1611-escape-to-host|T1611]]). Uma vez no nó host com privilégios elevados via impersonation de tokens ([[t1134-001-token-impersonationtheft|T1134.001]]), o malware utiliza as credenciais do nó para se mover lateralmente para o cluster Kubernetes e implantar workloads maliciosas. O objetivo final do [[s0623-siloscape|Siloscape]] é estabelecer acesso persistente ao cluster Kubernetes para mineração de criptomoedas, roubo de credenciais ou outros objetivos maliciosos - aproveitando a capacidade computacional agregada do cluster. O malware utiliza a rede Tor e um proxy multi-hop ([[t1090-003-multi-hop-proxy|T1090.003]]) para comunicação C2, garantindo anonimidade das operações. A descoberta do Siloscape demonstrou que a adoção acelerada de Kubernetes sem configuração de segurança adequada criou uma superfície de ataque significativa. **Plataformas:** Windows, Containers ## Técnicas Utilizadas - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1611-escape-to-host|T1611 - Escape to Host]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1609-container-administration-command|T1609 - Container Administration Command]] - [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] - [[t1134-001-token-impersonationtheft|T1134.001 - Token Impersonation/Theft]] - [[t1106-native-api|T1106 - Native API]] ## Detecção - Implementar monitoramento de runtime de containers (Falco, Sysdig) para detectar escape de container via chamadas de sistema anômalas - Monitorar chamadas de API do Kubernetes (kubectl, API server) de dentro de containers em execução - Alertar sobre criação de novos pods ou deployments não autorizados no cluster - Implementar Pod Security Standards (PSS) do Kubernetes para bloquear containers privilegiados e hostPath mounts - Monitorar comúnicações de saída de nós Kubernetes para a rede Tor (endereços .onion, portas Tor conhecidas) ## Relevância LATAM/Brasil O crescimento acelerado da adoção de Kubernetes no Brasil - especialmente em empresas de tecnologia, fintechs, e-commerce e provedores de cloud - torna o [[s0623-siloscape|Siloscape]] uma ameaça diretamente relevante. Muitas organizações brasileiras migraram para Kubernetes sem implementar controles de segurança adequados (RBAC restritivo, Pod Security Policies, network policies), criando superfícies de ataque semelhantes às exploradas pelo Siloscape. Equipes de DevSecOps brasileiras devem incluir container escape em seus modelos de ameaça e implementar ferramentas de runtime security para clusters Kubernetes em produção. ## Referências - [MITRE ATT&CK - S0623](https://attack.mitre.org/software/S0623)