V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1059.013EnterpriseПодтехника
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Интерфейс командной строки/API контейнера

Злоумышленники могут использовать встроенные инструменты CLI или вызовы API для выполнения вредоносных команд в контейнерных средах. Docker CLI используется для управления контейнерами через открытую точку API от демона `dockerd`. Некоторые распространенные примеры Docker CLI включают Docker Desktop CLI и Docker Compose, но пользователи также могут использовать SDK для взаимодействия с API. Например, Docker SDK для Python может использоваться для выполнения команд внутри приложения Python. Злоумышленники могут использовать Docker CLI, API или SDK для извлечения или сборки образов Docker (т.е. Передача инструмента проникновения, Сборка образа на узле), запуска контейнеров (т.е. Развертывание контейнера) или выполнения команд внутри запущенных контейнеров (т.е. Команда администрирования контейнера). В некоторых случаях злоумышленники могут извлекать легитимные образы, включающие скрипты или инструменты, которые они могут использовать, например, используя образ, включающий команду `curl` для загрузки полезных нагрузок. Злоумышленники также могут использовать `docker inspect` и `docker ps` для сканирования переменных облачной среды и других запущенных контейнеров (т.е. Обнаружение контейнеров и ресурсов). Kubernetes отвечает за управление и оркестрацию контейнеров в кластерах. Плоскость управления Kubernetes, которая управляет состоянием кластера и отвечает за планирование, связь и мониторинг ресурсов, может вызываться напрямую через API или косвенно через инструменты CLI, такие как `kubectl`. Доступ к ней также может осуществляться в клиентских библиотеках, таких как Go или Python. Используя API, администраторы могут взаимодействовать с ресурсами внутри кластера, такими как перечисление или создание подов, которые представляют собой группу из одного или нескольких контейнеров. Злоумышленники вызывают сервер API через `curl` или другие инструменты, что позволяет им получить дополнительную информацию об среде, такую как поды, развертывания, daemonsets, пространства имен или системные переменные. Они также могут выполнять различные команды управления ресурсами.

Тактики

Выполнение

Родительская техника

T1059
Интерпретатор команд и сценариев

Платформы

Containers

Меры защиты

M1026
Управление привилегированными учётными записями
M1038
Предотвращение выполнения кода
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.