T1053.007: Задание оркестрации контейнеров
Злоумышленники могут использовать функции планирования задач, предоставляемые средствами оркестрации контейнеров, такими как Kubernetes, для планирования развертывания контейнеров, настроенных на выполнение вредоносного кода. Задания оркестрации контейнеров запускают эти автоматические задачи в определенные дату и время, аналогично заданиям cron в системах на базе Linux. Развертывания такого типа также могут быть настроены на постоянное поддержание определенного количества контейнеров, автоматизируя процесс закрепления в кластере.
Для планирования задания, которое запускает один или несколько контейнеров для выполнения определенных задач, в Kubernetes может использоваться CronJob. Поэтому злоумышленник может использовать CronJob для запланированного создания задания, выполняющего вредоносный код на различных узлах кластера.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «kubectl get jobs», «kubectl create job --from=», «kubectl apply -f» и «kubectl create -f»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, используя агенты журналирования в узлах Kubernetes, а также получайте журналы модулей приложений и ресурсов через sidecar-прокси, чтобы отслеживать создание вредоносных заданий оркестрации контейнеров. |
---|
ID | DS0032 | Источник и компонент данных | Контейнер: Создание контейнера | Описание | Отслеживайте создание контейнеров. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Создание запланированного задания | Описание | Отслеживайте необычные случаи создания запланированных заданий в средах оркестрации контейнеров. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте привилегии пользователей и устраните способы повышения уровня привилегий, чтобы только авторизованные администраторы могли создавать задания оркестрации контейнеров. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы контейнеры не запускались по умолчанию от имени root. В средах Kubernetes следует определить стандарты безопасности модулей, которые не позволят модулям запускать контейнеры с привилегиями. |
---|