Техники: T1543 , T1543.001 , T1543.002 , T1543.003 , T1543.004 , T1543.005
Злоумышленники могут создавать или модифицировать инструменты управления контейнерами или контейнерными кластерами, которые работают как демоны, агенты или службы на отдельных узлах. К ним относятся программы для создания и управления отдельными контейнерами, такие как Docker и Podman, а также агенты контейнерного кластера на уровне узлов, такие как kubelet. Модифицируя эти службы, злоумышленник может добиться постоянства или повысить свои привилегии на хосте.
Например, используя команду `docker run` или `podman run` с директивой `restart=always`, можно настроить контейнер на постоянный перезапуск на хосте.(Цитата: AquaSec TeamTNT 2023) Пользователь, имеющий доступ к (rootful) команде docker, также может повысить свои привилегии на хосте.(Цитата: GTFOBins Docker)
В средах Kubernetes наборы DaemonSets позволяют злоумышленнику постоянно Развертывать контейнерына всех узлах, включая те, которые были добавлены в кластер позже.(Цитата: Aquasec Kubernetes Attack 2023)(Цитата: Kubernetes DaemonSet) Боды также могут быть развернуты на определенных узлах с помощью полей `nodeSelector` или `nodeName` в спецификации бода.(Цитата: Kubernetes Assigning Pods to Nodes)(Цитата: AppSecco Kubernetes Namespace Breakout 2020)
Обратите внимание, что контейнеры также могут быть настроены на запуск в качестве Systemd Services. (Цитата: Podman Systemd)(Цитата: Docker Systemd)
https://attack.mitre.org/techniques/T1543/005
Визуализация смежных техник для T1543.005
| № | Техника |
|---|
