安适狗|基于容器ATT

时间:2022-05-27 01:51:42来源:od体育网页版 作者:od体育网页版登录

  pc电脑版

  云原生本领仍旧变得无处不正在,各样领域的企业都正在举办数字化转型、从头策画行使序次和生意流程,以进步效能速率。正在基于主机ATT&CK的体会之上,容器ATT&CK也能很好地行使于评估攻防材干笼罩界限。

  本文从容器ATT&CK矩阵的布景起程,然后模仿K8s渗出实习,末了从容器ATT&CK复盘渗出道途,通过推行展示了容器ATT&CK矩阵正在攻防顽抗中的效用。

  ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击作为学问库和恐吓筑模模子,它包罗浩瀚恐吓机闭及其行使的东西和攻击本领。ATT&CK矩阵跟着攻击本领的增长而继续完好,截止目前,ATT&CK已增长了容器矩阵的实质。

  ATT&CK容器矩阵涵盖了编排层(比如Kubernets)和容器层(比如Docker)的攻击作为,还蕴涵了一系列与容器联系的恶意软件。跟着K8s采用的伸长,攻击面明显扩充,K8s的杂乱性和缺乏得当的安适独揽使得K8s集群中的容器成为人心所向。对付企业,使用容器ATT&CK模仿红蓝顽抗,有帮于分析K8s中的安适危害和枢纽攻击前言,而且基于此有帮于拟订准确的检测缓和解政策来应对这些危害,供应整个的珍爱。

  正在红蓝顽抗中,红方能够依据ATT&CK所包罗的技战略找到K8s集群的懦弱点举办渗出,能够对ATT&CK涉及的攻击面一一测试。而蓝方能够依据攻击反应的结果纠合ATT&CK框架涉及的技战略查找题目,进而确定攻击本领和己方存正在的题目。

  本章节的重要实质是正在较为理思的情况下模仿渗出K8s集群,并纠合容器ATT&CK框架复盘模仿攻击的道途。

  若表部主机须要访谒该行使,则运维职员须要创筑service,并揭示端口;所编写的rce-service.yaml如下所示:

  倘若攻击者收罗资产觉察了揭示正在表的微效劳端口30020,并访谒断定其或者存正在Spring Messaging长途下令奉行缝隙。

  正在kali攻击机上奉行企图好的POC,POC中增加倾向主机的URL以及回连的攻击机IP,如下图所示:

  奉行ps aux查看目今情况内的经过数以及经过PID为1的经过,能够看到经过数目很少而且经过PID为1的经过不为init或systemed。

  奉行which sudo查看常用东西sudo是否存正在,显着sudo是不存正在的。

  查看容器内是否挂载了docker socket,假如挂载了docker socket,那么能够逃逸到宿主机。

  因为容器是出网的,故咱们能够通过下载nmap探测整体集群的内网存活主机。

  扫描集群内组件盛开的默认端口。行使nmap扫描主机,探测端口盛开。因为仍旧领会192.168.77.120是master节点,于是只需扫描该IP盛开的端口。

  暴力一点也能够通过扫描master节点1-65536盛开的端口,确定master节点盛开的完全端口,蕴涵集群对表盛开的微效劳,进而通过其他的微效劳寻找虚弱点,入侵微效劳所正在的pod,进而入侵宿主机。

  正在K8s集群里8080端口是供应API Server效劳的,能够通过web访谒,而且能够通过kubectl客户端举办移用。因为没有举办合理的摆设权限验证,能够通过使用这个端口独霸K8s集群的资源。

  由于K8s的代劳权限摆设失当,通过访谒API Server能够访谒该k8s集群的十足资源,以下是两种影响水平较大的使用办法。

  通过使用kubectl客户端移用Secure Port接口去独揽仍旧创筑好的容器

  通过创筑一个自界说的容器将编造根目次的文献挂载到/mnt目次,然后改正/mnt/etc/crontab来影响主机的crontab,获取一个反弹Shell拿到宿主机的权限。

  正在当地创筑一个程序文献myapp.yaml,根本镜像“nginix”挂载宿主机/mnt文献夹

  进入pod,向容器的/mnt/etc/crontab写入反弹shell的准时工作,因为正在创筑容器时宿主机的根目次被挂载到了容器的/mnt目次下,于是能够直接影响宿主机的crontab。

  要进一步获取到主节点的shell,则能够从这两点研讨,一是主节点可被调整,同意正在主节点上陈设pod;二是主节点不行被调整,然而主节点上仍旧存正在之前陈设好的pod未被驱除,且个中某个pod存正在逃逸危害;三是正在仍旧获取的节点的shell根本。