# AN0612 — Analytic 0612 ## Descrição Este analítico detecta tentativas de escape de contêiner via bind mounts, contêineres privilegiados ou abuso do `docker.sock`, observando configurações anômalas de montagem de volume (como hostPath para `/` ou `/proc`), lançamentos inesperados de contêineres privilegiados ou uso de comandos de administração de contêiner para acessar recursos do host, frequentemente seguidos de execução de processos no host fora do isolamento de contêiner normal. A telemetria inclui logs de auditoria do daemon Docker, logs de auditoria do Kubernetes API Server para criações de pods com configurações privilegiadas e alertas de ferramentas de runtime security como Falco ou Aqua Security para comportamentos de escape de contêiner. Essa detecção é crítica pois escape de contêiner compromete o isolamento fundamental da infraestrutura de contêineres, podendo dar ao adversário controle total sobre o host subjacente e, consequentemente, sobre todos os outros contêineres em execução. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] --- *Fonte: [MITRE ATT&CK — AN0612](https://attack.mitre.org/detectionstrategies/DET0219#AN0612)*