by FatFish
on 7月 15, 2024

01  定义与手法

       攻击者可以将容器部署到环境中以进行攻击或逃避防御。在某些情况下,攻击者可能会部署一个新的容器来执行与特定映像或部署相关进程,例如执行或下载恶意软件的进程。在其他情况下,攻击者可能会部署一个没有配置网络规则、用户限制等的新容器,以绕过环境中的现有防御。

        容器可以通过各种方式部署,比如通过Docker的创建和启动API,或者通过Kubernetes仪表板或Kubeflow等web应用程序。攻击者可以基于检索或构建的恶意映像部署容器,也可以基于在运行时下载并执行恶意有效负载的良性映像部署容器。

02 程序示例

03  缓解措施

名称

描述

审计

  • 部署前对镜像进行扫描,对不符合安全策略的镜像进行屏蔽。在Kubernetes环境中,准入控制器可用于在容器部署请求经过身份验证之后,但在容器部署之前验证映像。

限制通过网

络访问资源

  • 将与容器服务的通信限制为受管理和安全的通道,例如本地Unix套接字或通过SSH进行远程访问。通过禁用对Docker API、Kubernetes API Server和容器编排网络应用程序未经身份验证的访问,需要安全端口访问以通过TLS与API通信。在云环境下部署的Kubernetes集群中,使用原生云平台特性限制API服务器允许访问的IP范围。在可能的情况下,考虑启用对Kubernetes API的即时(JIT)访问,从而对访问施加额外的限制。

网络细

分市场

  • 拒绝通过使用网络代理、网关和防火墙直接远程访问内部系统。

用户账

户管理
  • 通过将容器指示板的访问权限限制为只有必要的用户来执行最小权限原则。当使用Kubernetes时,避免给用户通配符权限或将用户添加到system:masters组,并使用RoleBindings而不是ClusterRoleBindings来限制用户对特定命名空间的权限。

04  检测方法

ID

数据来源

数据组件

检测方式

DS0015

应用日

程序日志

应用程序日志内容

配置管理数据库(CMDB)和其他资产管理系统可以帮助检测不应该存在于网络上的计算机系统或网络设备。

DS0032

容器

容器创建

监视新构建的容器,这些容器可能将容器部署到环境中以促进执行或逃避防御。

DS0032

容器

容器激活

监视容器的激活或调用,这些激活或调用可能将容器部署到环境中以尽快执行或逃避防御。

DS0014

Pod

Pod创建

监视新构建的Pod,这些Pod可能将容器部署到环境中以执行攻击或逃避防御。

DS0014

Pod

Pod修改

监视对Pod所做的更改,以防止对设置、控制数据的意外修改,这些修改可能会将容器部署到环境中,以执行攻击或逃避防御。

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

往期推荐

关于我们

        云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

Categories:

att&ck

Tags:

No Tag

Comments are closed

沪公网安备31010402005736号