Техника на mitre.org

T1613: Изучение контейнеров и их ресурсов

Злоумышленники могут попытаться изучить контейнеры и другие ресурсы, доступные в контейнеризованной среде. Это могут быть изображения, развертывания, модули, узлы и различная информация, например о состоянии кластера.

Эти данные можно просмотреть через веб-приложения, такие как веб-интерфейс Kubernetes, или запросить через API Docker и Kubernetes. Журналы Docker могут содержать информацию о среде — например, о конфигурации, доступных службах и поставщике облачных сервисов, которым может пользоваться жертва. Изучение этих ресурсов может помочь злоумышленникам планировать дальнейшие шаги — например, понять, как реализовать перемещение внутри периметра или выполнение полезных нагрузок.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых есть фрагменты «docker ps» или «docker inspect» либо веб-запросы к /containers/json

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0014	Источник и компонент данных	Модуль (pod): Получение списков модулей	Описание	Отслеживайте записи о действиях, которые могли выполняться для сбора сведений о модулях, в том числе о совершении вызовов API с целью изучения окружения новыми или нетипичными пользователями. Отслеживайте журналы действий пользователей, чтобы выявить активность, связанную с использованием дашборда Kubernetes и других веб-приложений.

ID	DS0032	Источник и компонент данных	Контейнер: Получение списка контейнеров	Описание	Отслеживайте в журналах записи о действиях, которые могли выполняться для сбора сведений об инфраструктуре контейнеров, в том числе о совершении вызовов API новыми или нетипичными пользователями с целью изучения окружения. Отслеживайте журналы действий пользователей, чтобы выявить активность, связанную с использованием дашборда Kubernetes и других веб-приложений.

ID	Источник и компонент данных	Описание
DS0014	Модуль (pod): Получение списков модулей	Отслеживайте записи о действиях, которые могли выполняться для сбора сведений о модулях, в том числе о совершении вызовов API с целью изучения окружения новыми или нетипичными пользователями. Отслеживайте журналы действий пользователей, чтобы выявить активность, связанную с использованием дашборда Kubernetes и других веб-приложений.
DS0032	Контейнер: Получение списка контейнеров	Отслеживайте в журналах записи о действиях, которые могли выполняться для сбора сведений об инфраструктуре контейнеров, в том числе о совершении вызовов API новыми или нетипичными пользователями с целью изучения окружения. Отслеживайте журналы действий пользователей, чтобы выявить активность, связанную с использованием дашборда Kubernetes и других веб-приложений.

Меры противодействия

ID	M1030	Название	Сегментация сети	Описание	Запретите прямой удаленный доступ к внутренним системам с помощью сетевых прокси-серверов, шлюзов и брандмауэров.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте собственные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.

ID	M1018	Название	Управление учетными записями	Описание	Внедрите принцип предоставления минимальных привилегий, сделав панель управления видимой только тем пользователям, которым требуется. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.

ID	Название	Описание
M1030	Сегментация сети	Запретите прямой удаленный доступ к внутренним системам с помощью сетевых прокси-серверов, шлюзов и брандмауэров.
M1035	Ограничение доступа к ресурсам по сети	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте собственные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.
M1018	Управление учетными записями	Внедрите принцип предоставления минимальных привилегий, сделав панель управления видимой только тем пользователям, которым требуется. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.