MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1053.007: Задание оркестрации контейнеров

Злоумышленники могут использовать функции планирования задач, предоставляемые средствами оркестрации контейнеров, такими как Kubernetes, для планирования развертывания контейнеров, настроенных на выполнение вредоносного кода. Задания оркестрации контейнеров запускают эти автоматические задачи в определенные дату и время, аналогично заданиям cron в системах на базе Linux. Развертывания такого типа также могут быть настроены на постоянное поддержание определенного количества контейнеров, автоматизируя процесс закрепления в кластере.

Для планирования задания, которое запускает один или несколько контейнеров для выполнения определенных задач, в Kubernetes может использоваться CronJob. Поэтому злоумышленник может использовать CronJob для запланированного создания задания, выполняющего вредоносный код на различных узлах кластера.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «kubectl get jobs», «kubectl create job --from=», «kubectl apply -f» и «kubectl create -f»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, используя агенты журналирования в узлах Kubernetes, а также получайте журналы модулей приложений и ресурсов через sidecar-прокси, чтобы отслеживать создание вредоносных заданий оркестрации контейнеров.

IDDS0032Источник и компонент данныхКонтейнер: Создание контейнераОписание

Отслеживайте создание контейнеров.

IDDS0003Источник и компонент данныхЗапланированное задание: Создание запланированного заданияОписание

Отслеживайте необычные случаи создания запланированных заданий в средах оркестрации контейнеров.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте привилегии пользователей и устраните способы повышения уровня привилегий, чтобы только авторизованные администраторы могли создавать задания оркестрации контейнеров.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями.