Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1610
Злоумышленники могут развернуть контейнер в среде, чтобы облегчить выполнение или обойти защиту. В некоторых случаях злоумышленники могут развернуть новый контейнер для выполнения процессов, связанных с определенным образом или развертыванием, например процессов, выполняющих или загружающих вредоносное ПО. В других случаях Злоумышленник может развернуть новый контейнер, сконфигурированный без сетевых правил, пользовательских ограничений и т. д., чтобы обойти существующие средства защиты в среде. В средах Kubernetes Злоумышленник может попытаться развернуть привилегированный или уязвимый контейнер на определенном узле, чтобы Escape to Host и получить доступ к другим контейнерам, запущенным на этом узле.(Цитата: AppSecco Kubernetes Namespace Breakout 2020)
Контейнеры могут быть развернуты различными способами, например с помощью API Docker create и start или через веб-приложение, такое как панель Kubernetes или Kubeflow. (Цитата: Docker Containers API)(Цитата: Kubernetes Dashboard)(Цитата: Kubeflow Pipelines) В средах Kubernetes контейнеры могут быть развернуты через рабочие нагрузки, такие как ReplicaSets или DaemonSets, которые позволяют развертывать контейнеры на нескольких узлах.(Цитата: Kubernetes Workload Management) Злоумышленники могут развертывать контейнеры на основе полученных или созданных вредоносных образов или на основе доброкачественных образов, которые загружают и выполняют вредоносную полезную нагрузку во время исполнения.(Цитата: Aqua Build Images on Hosts)
https://attack.mitre.org/techniques/T1610
Визуализация смежных техник для T1610
| № | Техника |
|---|
