Kubernetes 控制器服务帐户的可疑分配

此规则检测将控制器服务帐户附加到在 kube-system 命名空间中运行的现有或新 Pod 的请求。默认情况下，作为 API 服务器一部分运行的控制器会使用托管在 kube-system 命名空间中的具有管理员权限的服务帐户。控制器服务帐户通常不会分配给正在运行的 Pod，这可能表明集群内存在恶意行为。如果攻击者可以在 kube-system 命名空间中创建或修改 Pod 或 Pod 控制器，则可以将这些具有管理员权限的服务帐户之一分配给 Pod，并滥用其强大的令牌来提升权限并获得完整的集群控制权。

规则类型: 查询

规则索引:

logs-kubernetes.*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: 无 (日期数学格式, 另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://www.paloaltonetworks.com/apps/pan/public/downloadResource?pagePath=/content/pan/en_US/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms

标签:

数据源: Kubernetes
策略: 执行
策略: 权限提升

版本: 6

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

需要启用审计日志的 Kubernetes Fleet 集成或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset : "kubernetes.audit_logs"
  and kubernetes.audit.annotations.authorization_k8s_io/decision:"allow"
  and kubernetes.audit.verb : "create"
  and kubernetes.audit.objectRef.resource : "pods"
  and kubernetes.audit.objectRef.namespace : "kube-system"
  and kubernetes.audit.requestObject.spec.serviceAccountName:*controller

框架: MITRE ATT&CK^TM

策略
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
子技术
- 名称: 默认帐户
- ID: T1078.001
- 参考 URL: https://attack.mitre.org/techniques/T1078/001/

« Kubernetes 特权 Pod 已创建 Kubernetes 可疑的自我主体审查 »