Техники: T1611
Злоумышленники могут вырваться из контейнера и получить доступ к базовому хосту. Это может позволить злоумышленнику получить доступ к другим контейнеризированным ресурсам с уровня хоста или к самому хосту.В принципе, контейнерные ресурсы должны обеспечивать четкое разделение функциональности приложений и быть изолированными от среды хоста.(Цит. по: Docker Overview)
Существует множество способов, с помощью которых злоумышленник может проникнуть в среду хоста. В качестве примера можно привести создание контейнера, настроенного на монтирование файловой системы хоста с помощью параметра bind, что позволяет злоумышленнику сбрасывать полезную нагрузку и выполнять на хосте управляющие утилиты, такие как cron; использование контейнера с привилегиями для выполнения команд или загрузки вредоносного модуля ядра на базовый хост; или злоупотребление системными вызовами, такими как `unshare` и `keyctl`, для повышения привилегий и кражи секретов.(Цитата: Docker Bind Mounts)(Цитата: Trend Micro Privileged Container)(Цитата: Intezer Doki July 20)(Цитата: Container Escape)(Цитата: Crowdstrike Kubernetes Container Escape)(Цитата: Keyctl-unmask)
Кроме того, Злоумышленник может использовать скомпрометированный контейнер с подключенным сокетом управления контейнером, например `docker.sock`, чтобы выйти из контейнера с помощью команды Container Administration Command.(Цитата: Container Escape) Злоумышленники также могут выйти из контейнера с помощью Exploitation for Privilege Escalation, например, используя уязвимости в глобальных символических ссылках, чтобы получить доступ к корневому каталогу хост-машины.(Цитата: Windows Server Containers Are Open)
Получение доступа к хосту может дать злоумышленнику возможность достичь последующих целей, таких как установление постоянства, перемещение в среде, доступ к другим контейнерам, запущенным на хосте, или создание командно-контрольного канала на хосте.
https://attack.mitre.org/techniques/T1611
Визуализация смежных техник для T1611
| № | Техника |
|---|
