# AN1007 — Analytic 1007 ## Descrição Este analítico detecta conexões a serviços de container expostos (como Docker API na porta 2375/2376 ou Kubernetes API server) a partir de IPs externos não autorizados, seguidas de criação/inicialização anormal de containers e atividade lateral dentro dos nós do cluster. A telemetria utilizada inclui kube-apiserver audit logs, logs do Docker daemon (`/var/log/docker`), VPC Flow Logs para tráfego na API do container runtime e alertas de runtime security como Falco. A detecção é crítica porque Docker APIs e Kubernetes API servers expostos sem autenticação são alvo constante de ataques automatizados para implantação de mineradores de criptomoedas e backdoors em containers, explorados por grupos como TeamTNT e Hildegard. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1611-escape-to-host|T1611 — Escape to Host]] --- *Fonte: [MITRE ATT&CK — AN1007](https://attack.mitre.org/detectionstrategies/DET0354#AN1007)*