# AN0613 — Analytic 0613 ## Descrição Este analítico detecta tentativas de escape de contêiner Linux via syscalls (`unshare`, `keyctl`, `mount`) ou execução de processos fora de namespaces de contêiner, correlacionando chamadas de sistema incomuns de processos containerizados com criação de processos subsequente no host ou modificação de recursos do host. A telemetria inclui logs de syscalls via `auditd` com regras para `unshare`, `mount` e `keyctl`, logs de runtime de contêiner (containerd, CRI-O) com eventos de violação de política de segcomp/AppArmor e alertas de Falco para padrões de comportamento de escape. Essa detecção é essencial pois escapes via syscalls de namespace são um vetor explorado em vulnerabilidades como CVE-2022-0492 (cgroup v1) e requerem monitoramento em nível de kernel para detecção eficaz. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN0613](https://attack.mitre.org/detectionstrategies/DET0219#AN0613)*