通过修改的 notify_on_release 文件进行潜在容器逃逸

此规则检测容器内部 cgroup notify_on_release 文件的修改。当 cgroup 中的 notify_on_release 标志启用（1）时，每当 cgroup 中的最后一个任务退出或附加到另一个 cgroup 时，release_agent 文件中指定的命令就会运行并从主机调用。具有 SYS_ADMIN 功能的特权容器使威胁参与者能够挂载 cgroup 目录并修改 notify_on_release 标志，以便利用此功能，该功能可用于进一步提升权限并容器逃逸到主机。

规则类型: eql

规则索引:

严重性: 高

风险评分: 73

每隔运行: 5 分钟

从以下时间开始搜索索引: now-6m（日期数学格式，另请参见 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 1

规则作者:

规则许可证：Elastic 许可证 v2

file where event.module == "cloud_defend" and event.action == "open" and
event.type == "change" and file.name : "notify_on_release"