通过修改 notify_on_release 文件潜在的容器逃逸

此规则检测从容器内部对 cgroup 的 notify_on_release 文件进行的修改。当 cgroup 中的 notify_on_release 标志被启用（1）时，只要 cgroup 中的最后一个任务退出或附加到另一个 cgroup，就会运行在 release_agent 文件中指定的命令，并从主机调用。具有 SYS_ADMIN 功能的特权容器，允许威胁参与者挂载 cgroup 目录并修改 notify_on_release 标志，以利用此功能，这可能被用于进一步的权限提升和容器逃逸到主机。

规则类型: eql

规则索引:

logs-cloud_defend*

严重性: 高

风险评分: 73

运行频率: 5 分钟

搜索索引的时间范围: now-6m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大告警数: 100

参考:

标签:

数据源: Elastic Defend for Containers
域: 容器
操作系统: Linux
用例: 威胁检测
战术: 权限提升

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

file where event.module == "cloud_defend" and event.action == "open" and
event.type == "change" and file.name : "notify_on_release"

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/

« 通过 Internet Explorer 潜在的命令与控制通过修改 release_agent 文件潜在的容器逃逸 »