使用 HostIPC 创建的 Kubernetes Pod

此规则检测尝试使用主机 IPC 命名空间创建或修改 Pod 的行为。这会允许访问也使用主机 IPC 命名空间的任何 Pod 使用的数据。如果主机上的任何进程或 Pod 中的任何进程使用主机的进程间通信机制（共享内存、信号量数组、消息队列等），攻击者可以读取/写入这些相同的机制。他们可能会查找 /dev/shm 中的文件或使用 ipcs 来检查是否正在使用任何 IPC 工具。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引来自: 无 (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

数据源: Kubernetes
策略: 执行
策略: 权限提升

版本: 204

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.objectRef.resource:"pods"
  and kubernetes.audit.verb:("create" or "update" or "patch")
  and kubernetes.audit.requestObject.spec.hostIPC:true
  and not kubernetes.audit.requestObject.spec.containers.image: ("docker.elastic.co/beats/elastic-agent:8.4.0")

框架: MITRE ATT&CK^TM

策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/
策略
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: 部署容器
- ID: T1610
- 参考 URL: https://attack.mitre.org/techniques/T1610/

« 使用 NodePort 类型创建的 Kubernetes 暴露服务使用 HostNetwork 创建的 Kubernetes Pod »