入侵检测策略
容器的入侵行为主要是对命令执行、读写文件、网络活动、主机异常等类型进行监测。
平台支持多类检测规则,对黑客的攻击行为进行检测防护,且支持预设策略的方式,将入侵行为在事件发生的第一时间对容器进行暂停并支持对容器所在的Pod进行隔离或重启。
默认策略
平台内置默认策略的启用状态默认为“启用”,且仅支持查看、编辑,不支持删除。
l 编辑默认策略时,支持选择应用对象、自定义规则等操作。
l 默认策略包含的检测规则请参见系统内置规则。
1. 登录容器安全卫士控制台。
2. 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
3. 在“入侵检测策略”页签,单击“添加策略”,进入添加策略页面。
4. 配置基本信息。
5. 选择策略应用的对象。
6. 配置策略规则,包括使用哪些规则,配置规则处置方式等。
每条入侵行为下,有相关的行为描述和开启建议,用户可进行参考设置。
仅系统内置策略支持配置“主机异常”规则:
7. 参数配置完成后,单击“保存”。
复制策略
通过复制策略,可以快速添加一个和已有策略类似的策略。
1. 登录容器安全卫士控制台。
2. 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
3. 在“入侵检测策略”页签,在已有策略的操作列单击“复制策略”,进入复制策略页面。
4. 策略配置的详细说明请参考添加策略。
编辑策略
1. 登录容器安全卫士控制台。
2. 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
3. 在“入侵检测策略”页签,在已有策略的操作列单击“编辑”,进入编辑策略页面。
4. 在策略编辑界面,可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。
批量管理策略
支持批量对策略进行管理,包括启用、禁用、删除。
1. 登录容器安全卫士控制台。
2. 在左侧导航栏选择“容器安全 > 容器策略”,进入容器策略页面。
3. 在“入侵检测策略”页签,勾选入侵行为名称前的复选框,选择要操作的策略。
4. 单击选择列表上方的“批量”按钮,展开批量操作。
5. 根据需要选择执行的操作,支持批量启用、禁用、删除。
入侵检测规则
系统内置了丰富的检测规则,用户也可以根据需求自定义检测规则。
l 系统内置规则仅支持查看,不支持复制、编辑、删除等操作。
l 支持添加、编辑、删除自定义规则。
添加自定义规则
1. 登录容器安全卫士控制台。
2. 在左侧导航栏,选择“容器安全 > 容器策略”,进入容器策略页面。
3. 选择“入侵检测规则”页签。
4. 单击“添加规则”,进入添加规则页面。
5. 在入侵检查规则页面输入规则名称(必填)和规则描述(非必填),选择是否启用,输入告警信息、选择规则类型(命令执行、网络活动、文件读写、文件内容)、Att&ck战术、Att&ck技术、风险等级、规则内容(DSL)、修复建议、开启建议。
6. 单击“保存”,生成一条新规则。
类型 | 检测项 | 说明 |
命令执行 | 启动特权容器 | 以特权模式启动容器相当于拥有服务器的管理员权限,可以操作服务器上的任何资源、执行任意命令。 |
容器内使用ncat工具 | 该类工具是攻击者经常使用的工具,用于下载工具、探测信息、进一步渗透等,业务进程较少使用。 | |
容器内使用特定网络工具 | 该类工具是攻击者经常使用的工具,用于下载工具、探测信息、进一步渗透等,业务进程较少使用。 | |
执行敏感命令 | 此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。 | |
搜索私钥行为 | 攻击者搜索可利用的私钥从而登录并攻陷对应的服务器。 | |
疑似contanerd逃逸 | 发现可以进程,疑似为利用cve-2020-15257进行逃逸,请确认是否为黑客行为 | |
疑似修改命名空间逃逸 | 发现可疑进程,疑似容器内获取宿主机权限后修改容器命名空间为宿主机命名空间以达成容器逃逸,请确认是否为黑客行为 | |
执行远程文件传输命令 | 攻击者常利用此命令来下载后门、上传敏感信息等。 | |
创建指向敏感文件的软连接 | 攻击者常利用此命令来提升权限,业务进程较少使用。 | |
脏牛漏洞提权 | 利用Linux系统的Copy On Write写时复制的竞争条件漏洞,达到权限提升的目的,攻击者可利用此漏洞提升为管理员权限从而控制服务器。 | |
容器内sudo漏洞利用 | 利用CVE-2019-14287,可以进行提权行为。 | |
kubectl cp漏洞利用 | 利用CVE-2019-1002101,关于kubectl cp漏洞利用行为。 | |
java内存马 | 攻击者利用java的类缺陷,动态的修改java程序在内存中的代码段,注入远控后门程序,实现远程控制,具有隐蔽、不落盘等特点。 | |
启动挖矿程序 | 攻击者在服务器上植入挖矿程序,占用服务器大量计算资源挖矿,会导致业务进程缓慢、卡死等风险。 | |
启动远程木马程序 | 攻击者入侵成功后留下的远控后门,方便持续渗透。 | |
执行具有setuid位的命令 | 此类通常为攻击者获得低权限shell后试图利用setuid获得高权限行为。 | |
伪装k8s容器 | 此类通常为攻击者进行伪装的恶意容器。 | |
启动容器挂载目录 | 当容器挂载了一些风险目录时,容器内可以修改宿主机中的某些关键文件,将会有逃逸或者提权的风险 | |
启动具有敏感权限容器 | 此类行为容易增加逃逸风险。 | |
隧道利用 | 该方式是攻击者经常使用,用于下载数据、探测信息等。 | |
疑似CVE-2021-3156漏洞利用 | 利用CVE-2021-3156,可以进行提权行为。 | |
疑似CVE-2021-25741漏洞利用 | 利用CVE-2021-25741,可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。 | |
疑似CVE-2022-0492漏洞利用 | 利用CVE-2022-0492,可以绕过命名空间隔离,从而造成容器逃逸。 | |
执行恶意脚本 | 发现容器内部执行恶意脚本,请检查是否是黑客行为 | |
内存恶意代码执行 | 发现容器内部内存恶意代码执行,请检查是否是黑客行为 | |
疑似webshell执行命令 | 发现容器内疑似webshell执行命令 | |
crond执行恶意脚本 | 发现容器内crond执行恶意脚本,请检查是否为黑客行为 | |
疑似dind逃逸漏洞利用 | 当容器挂载了docker.sock或者其根目录,容器内如果安装docker,就可利用docker联系docker.sock创建新的容器并挂载宿主机敏感目录,以达到容器逃逸的目的 | |
疑似cve-2018-15664逃逸 | 发现可疑进程,疑似为利用docker cp进行逃逸,请确认是否为黑客行为 | |
疑似特权容器挂载设备逃逸 | 发现可疑进程,疑似为利用特权容器挂载设备逃逸,请确认是否为黑客行为 | |
疑似容器逃逸 | 发现容器内文件以宿主机进程执行,具有容器逃逸的风险,请确认是否为黑客行为 | |
从磁盘中删除大容量数据 | 此类行为通常为攻击者破坏数据、清除痕迹的操作,也有可能是业务进程清理日志,请根据详情进一步确认。 | |
执行恶意脚本 | 发现容器内部执行恶意脚本,请检查是否是黑客行为 | |
crond执行恶意脚本 | 发现容器内crond执行恶意脚本,请检查是否为黑客行为 | |
容器内proc目录被挂载 | 发现容器内的/proc目录被挂载,请检查容器是否为黑客启动。 | |
添加setuid权限 | 为文件添加setuid权限 | |
读写文件 | runc逃逸漏洞利用 | 疑似利用runc逃逸漏洞CVE-2019-5736 |
容器内发现恶意文件 | 此类文件通常为病毒、木马等具有破坏行为的文件。 | |
篡改计划任务 | 此类通常为攻击者的恶意操作。 | |
docker-cp漏洞利用 | 利用CVE-2019-14271,关于docker cp的提权漏洞。 | |
疑似CVE-2021-4034漏洞利用行为 | 利用CVE-2021-4034,可以进行提取行为。 | |
操作敏感文件 | 此类行为可将正常的可执行文件修改为具有破坏行为的文件。 | |
篡改容器内可执行文件 | 此类行为可将正常的可执行文件修改为具有破坏行为的文件。 | |
疑似mount-procfs容器逃逸 | /proc/sys/kernel/core_pattern文件是负责进程奔溃时内存数据转储的,当第一个字符是管道符|时, 后面的部分会以命令行的方式进行解析并运行 | |
疑似重写devices.allow逃逸 | 发现可疑进程,疑似为利用重写devices.allow进行逃逸,请确认是否为黑客行为 | |
网络活动 | 反弹shell操作 | 攻击者常利用此命令来绕过防火墙规则,远程控制服务器。 |
容器暴力破解 | 此类行为通常是攻击者在尝试获取目标服务的权限。 | |
文件内容 | - | 支持自定义文件内容检测 |
主机异常 | 通过docker exec进入pod | 通过kubectl exec进入pod,某些情况不允许。 |
通过docker_exec进入容器 | 通过docker exec进入pod,某些情况不允许。 | |
反弹shell操作 | 攻击者常利用此命令来绕过防火墙规则,远程控制服务器。 | |
runc被篡改 | 此类行为可能为逃逸行为。 | |
高危系统调用使用 | 此行为可能造成攻击利用。 | |
宿主机上使用特定网络工具 | 该类工具是攻击者经常使用的工具,用于下载工具、探测信息、进一步渗透等,业务进程较少使用。 |