通过修改后的 notify_on_release 文件进行潜在容器逃逸

此规则检测从容器内部修改 cgroup notify_on_release 文件的行为。当在 cgroup 中启用 notify_on_release 标志 (1) 时，只要 cgroup 中的最后一个任务退出或附加到另一个 cgroup，就会运行并调用 release_agent 文件中指定的命令，该命令由主机调用。拥有 SYS_ADMIN 功能的权限容器允许威胁参与者挂载 cgroup 目录并修改 notify_on_release 标志以利用此功能，这可能用于进一步的权限提升和从容器逃逸到主机。

规则类型: eql

规则索引:

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引时间范围: now-6m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

版本: 1

规则作者:

规则许可证: Elastic License v2

file where event.module == "cloud_defend" and event.action == "open" and
event.type == "change" and file.name : "notify_on_release"