취약점분석 (Blue Team)/Cloud

[k8s-goat] 9.Analyzing crypto miner container

poiri3r 2026. 6. 25. 22:59

이번엔 9번째 시나리오입니다.

이전에 Helm v2 tiller to PwN the cluster라는 시나리오가 하나 있었는데 현재 구버전 이슈로 문서용으로만 남아있습니다.

해석을 해보면 암호화폐 채굴 컨테이너 분석이고, 컨테이너 이미지가 무엇을 기반으로 만들어졌는지, 내부에서 어떤 작업을 수행하는지 제대로 확인하지 않고 사용하기에 k8s안의리소스와 이미지, Job을 확인하는 작업입니다.

시나리오 대로 kubectl get jobs를 하면 크게 4가지가 나옵니다.

 

kubectl describe jobs <job name> 을 하면 해당 job에 대한 정보를 볼 수 있습니다.

근데 크게 특별한 건 못찾겠네요.

 

일단 hidden-in-layers를 풀다가 다른 flag값을 찾았는데 이건 hidden layers문제가 따로 있더라고요?

batch-check-job만 건드려보겠습니다.

batch-check-job-9zv4t라는 pod을 생성한걸 확인 가능합니다

pod에도 특별한건 안보입니다.

다만 해당 컨테이너가 madhuakula/k8s-goat-batch-check라는 이미지를 실행하고 있는걸 확인 가능합니다.

Docker 이미지를 분석하기 위해 skopeo를 사용합니다.

skopeo inspect --config docker://madhuakula/k8s-goat-batch-check:latest

history를 보면 app.tar.gz를 이미지 안에 복사해서 /app/에 프로그램을 만들고 원본 파일을 삭제하는 구조입니다.

안에 보면 pip install truffleHog인데 truffleHog는 Git 저장소에서 secret/API Key같은 민감 정보를 찾는 도구라서 수상합니다.

해당 앱 파일을 분석해보겠습니다.

mkdir -p ~/batch-check-analysis
cd ~/batch-check-analysis

skopeo copy docker://madhuakula/k8s-goat-batch-check:latest dir:./image
cd image

일단 app/app 경로에 있는 실행 파일을 먼저 보는게 우선 같습니다.

app.tar.gz를 압축 푼 뒤 app/app을 먼저 보겠습니다.

 

 

=> 이것도 문서와 현재 이미지가 불일치해서 flag를 찾기가 안되네요 ㅠ

https://madhuakula.com/kubernetes-goat/docs/scenarios/scenario-10/analyzing-crypto-miner-in-kubernetes-cluster-container/welcome

 

⎈ Analyzing crypto miner container | Kubernetes Goat

Analyzing Crypto Miner from container in Kubernetes Cluster - Kubernetes Goat Scenario 🚀

madhuakula.com

 

공식 문서에 따르면 아까 저희가 했단 docker history만 봐도

여기 히스토리에

echo "curl -sSL https://madhuakula.com/kubernetes-goat/k8s-goat-a5e0a28fa75bf429123943abedb065d1 && echo 'id' | sh " > /usr/bin/system-startup && chmod +x /usr/bin/system-startup

 

이렇게 flag를 찾아낼 수 있습니다.

 

저만 이런건 아니고

https://github.com/madhuakula/kubernetes-goat/issues/185

 

[Analyzing crypto miner container] not found curl command in [docker history] · Issue #185 · madhuakula/kubernetes-goat

docker history --no-trunc madhuakula/k8s-goat-batch-check IMAGE CREATED CREATED BY SIZE COMMENT sha256:a79437e72bc1b7f624b294bbe76a41cc570c0d9e2d997b43531821ec19aab5d6 17 months ago CMD ["./app"] 0...

github.com

 

해당 글 작성자도 저와 비슷한 문제를 겪고 있네요.

아쉽지만 여기서 포스팅을 마치도록 하겠습니다.

 

그래도 jobs, pods에 대한 정보 분석, 그 jobs에서 실행중인 pod 찾기, 이미지 분석 등 다양한걸 겪어봤네요.

읽어주셔서 감사합니다!