# AN0358 — Analytic 0358 ## Descrição Detecta adversários usando imagens de container renomeadas, injetando arquivos com nomes enganosos ou metadados falsificados dentro de containers (como binários de sistema renomeados), executando-os durante a inicialização ou trabalhos agendados. A telemetria inclui logs de runtime de container (containerd, Docker), análise de layers de imagem e comparação de hashes de binários dentro de containers contra listas de permitidos. Essa analítica é relevante para ambientes Kubernetes e Docker porque o mascaramento dentro de containers pode passar despercebido por scanners de imagem que válidam apenas a imagem base, não os arquivos injetados em tempo de execução. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0358](https://attack.mitre.org/detectionstrategies/DET0127#AN0358)*