使用 HostPID 创建 Kubernetes Pod
编辑使用 HostPID 创建 Kubernetes Pod
编辑此规则检测尝试创建或修改附加到主机 PID 命名空间的 Pod 的行为。HostPID 允许 Pod 访问主机上运行的所有进程,这可能允许攻击者采取恶意行动。当与 ptrace 配合使用时,这可以用来提升容器外的权限。当与特权容器配合使用时,Pod 可以看到主机上的所有进程。攻击者可以进入主机上的 init 系统 (PID 1)。从那里,他们可以执行 shell 并继续将权限提升到 root。
规则类型: 查询
规则索引:
- logs-kubernetes.*
严重性: 中等
风险评分: 47
每隔: 5 分钟
每次执行的最大告警数: 100
参考:
标签:
- 数据源:Kubernetes
- 策略:执行
- 策略:权限提升
版本: 204
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
编辑需要启用审核日志的 Kubernetes 集群集成或结构类似的数据才能与此规则兼容。
规则查询
编辑event.dataset : "kubernetes.audit_logs"
and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
and kubernetes.audit.objectRef.resource:"pods"
and kubernetes.audit.verb:("create" or "update" or "patch")
and kubernetes.audit.requestObject.spec.hostPID:true
and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")
框架: MITRE ATT&CKTM
-
策略
- 名称:权限提升
- ID:TA0004
- 参考网址:https://attack.mitre.org/tactics/TA0004/
-
技术
- 名称:逃逸到主机
- ID:T1611
- 参考网址:https://attack.mitre.org/techniques/T1611/
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:部署容器
- ID:T1610
- 参考网址:https://attack.mitre.org/techniques/T1610/