Матрица MITRE ATT&CK

Техника на mitre.org

T1543.005: Служба контейнера

Злоумышленники могут создать или модифицировать инструменты управления контейнерами или контейнерными кластерами, которые работают в качестве демонов, агентов или служб на хостах. К таким инструментам относятся программы для создания отдельных контейнеров и управления ими, такие как Docker и Podman, а также агенты уровня узлов контейнерного кластера, такие как кублеты (kubelet). Путем изменения этих служб злоумышленники могут закрепиться в системе или повысить свои привилегии на хосте.

Например, с помощью команды docker run или podman run с директивой restart=always можно настроить контейнер на постоянный перезапуск на хосте. Пользователь, имеющий доступ к команде docker с правами root, также может повысить свои привилегии на хосте.

В средах Kubernetes объекты DaemonSet позволяют злоумышленнику постоянно развертывать контейнер на всех хостах, в том числе на тех, которые были добавлены в кластер позже. При указании полей nodeSelector или nodeName в спецификации модулей они также могут быть развернуты на конкретных узлах.

Следует отметить, что контейнеры также можно настроить на запуск в качестве служб systemd.

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте подозрительное использование команд для Docker или Podman, например попытки монтирования корня файловой системы узла.

ID	DS0032	Источник и компонент данных	Контейнер: Создание контейнера	Описание	Отслеживайте создание контейнеров, которые могут систематически запускать вредоносные полезные нагрузки с целью закрепления в системе или повышения привилегий.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте подозрительное использование команд для Docker или Podman, например попытки монтирования корня файловой системы узла.
DS0032	Контейнер: Создание контейнера	Отслеживайте создание контейнеров, которые могут систематически запускать вредоносные полезные нагрузки с целью закрепления в системе или повышения привилегий.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте доступ к таким утилитам, как `docker`, оставив его только для тех пользователей, которым он необходим, особенно если утилита `docker` используется в режиме rootful. В средах Kubernetes обеспечьте выдачу прав на размещение модулей только для тех пользователей, которым это необходимо.

ID	M1054	Название	Изменение конфигурации ПО	Описание	По возможности принудительно используйте службы контейнера в режиме rootless, чтобы ограничить возможность повышения привилегий или вредоносного воздействия на хост, на котором запущен контейнер.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте доступ к таким утилитам, как `docker`, оставив его только для тех пользователей, которым он необходим, особенно если утилита `docker` используется в режиме rootful. В средах Kubernetes обеспечьте выдачу прав на размещение модулей только для тех пользователей, которым это необходимо.
M1054	Изменение конфигурации ПО	По возможности принудительно используйте службы контейнера в режиме rootless, чтобы ограничить возможность повышения привилегий или вредоносного воздействия на хост, на котором запущен контейнер.