› › ›

在特权容器内启动文件系统调试器

此规则检测到在特权容器内使用了内置的 Linux DebugFS 实用程序。DebugFS 是一个特殊的文件系统调试实用程序，支持直接从硬盘驱动器设备读取和写入。当在特权容器（即部署了主机所有功能的容器）中启动时，攻击者可以访问敏感的主机级别文件，这些文件可能被用于进一步的提权和容器逃逸到主机。

规则类型: eql

规则索引:

logs-cloud_defend*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引时间范围: now-6m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考资料:

标签:

数据源: Elastic Defend for Containers
领域: 容器
操作系统: Linux
用例: 威胁检测
战术: 权限提升

版本: 1

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where event.module == "cloud_defend" and
  event.type == "start" and process.name == "debugfs" and
  process.args : "/dev/sd*" and not process.args == "-R" and
  container.security_context.privileged == true

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/

« 在回收站的根文件夹中暂存文件通过 Netcat 建立文件传输或侦听器 »