› › ›

在特权容器内启动挂载

在特权容器内启动挂载编辑

此规则检测在特权容器内使用 mount 实用程序。mount 命令用于使设备或文件系统可供系统访问，然后将其根目录连接到本地文件系统上的指定挂载点。当在特权容器（使用主机的所有功能部署的容器）内启动时，攻击者可以访问敏感的主机级文件，这些文件可用于进一步提升权限并从容器逃逸到主机。任何在运行的特权容器内使用 mount 的情况都应进一步调查。

规则类型: eql

规则索引:

logs-cloud_defend*

严重性: 低

风险评分: 21

运行间隔: 5分钟

搜索索引范围: now-6m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

https://book.hacktricks.xyz/linux-hardening/privilege-escalation/docker-security/docker-breakout-privilege-escalation#privileged

标签:

数据源: Elastic Defend for Containers
领域: 容器
操作系统: Linux
用例: 威胁检测
战术: 权限提升

版本: 1

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

规则查询编辑

process where event.module == "cloud_defend" and  event.type== "start" and
(process.name== "mount" or process.args== "mount") and container.security_context.privileged == true

框架: MITRE ATT&CK^TM

战术
- 名称: 权限提升
- ID: TA0004
- 参考 URL: https://attack.mitre.org/tactics/TA0004/
技术
- 名称: 逃逸到主机
- ID: T1611
- 参考 URL: https://attack.mitre.org/techniques/T1611/

« Mofcomp 活动挂载隐藏或 WebDav 远程共享 »