ТЕХНІЧНИЙ ОПИС

Зловмисники можуть розгортати контейнер у середовищі для полегшення виконання або ухилення від засобів захисту. У деяких випадках зловмисники можуть розгорнути новий контейнер для виконання процесів, пов’язаних із певним образом (image) або деплоєм, наприклад, процесів, які виконують або завантажують шкідливе ПЗ. В інших випадках зловмисник може розгорнути новий контейнер, налаштований без мережевих правил, обмежень користувачів тощо, щоб обійти існуючі засоби захисту в середовищі. У середовищах Kubernetes зловмисник може спробувати розгорнути привілейований або вразливий контейнер на конкретному вузлі (node), щоб здійснити втечу на хост (Escape to Host) та отримати доступ до інших контейнерів, що працюють на цьому вузлі.

Контейнери можуть бути розгорнуті різними способами, наприклад, через API Docker create та start або через веб-застосунки, такі як панель управління Kubernetes (dashboard) або Kubeflow. У середовищах Kubernetes контейнери можуть бути розгорнуті через робочі навантаження (workloads), такі як ReplicaSets або DaemonSets, що дозволяє розгортати контейнери на декількох вузлах одночасно. Зловмисники можуть розгортати контейнери на основі отриманих або створених шкідливих образів, або з чистих (benign) образів, які завантажують і виконують шкідливі об’єкти під час роботи.

Методи зловживання:

  • Malicious Images: Використання образів із уже вбудованими бекдорами.
  • Privileged Containers: Розгортання з параметром —privileged, що дає контейнеру майже прямий доступ до апаратного забезпечення хоста.
  • Sidecar Injection: Додавання шкідливого контейнера до вже існуючого легітимного пода для перехоплення трафіку або даних.