# DC0072 — Container Creation ## Descrição Container Creation captura detalhes sobre a construção inicial de um container em um ambiente containerizado. Isso inclui eventos em que um novo container é instanciado — sejá via Docker, Kubernetes ou plataformas de orquestração cloud como AWS ECS, Azure Container Instances ou Google Kubernetes Engine. O monitoramento desses eventos é fundamental para detectar criação não autorizada ou potencialmente maliciosa de containers. Adversários que comprometem credenciais de nuvem ou obtêm acesso a ambientes Kubernetes podem criar containers maliciosos para executar ferramentas de ataque, minerar criptomoedas (cryptojacking), mover-se lateralmente para outros pods, ou implantar backdoors persistentes. A criação de containers a partir de imagens não aprovadas, com configurações privilegiadas (`--privileged`), ou em namespaces de sistema (como `kube-system`) são indicadores de alto risco. A telemetria é coletada a partir dos logs de auditoria do servidor de API Kubernetes, logs de runtime do container (containerd, CRI-O, Docker), CloudTrail para ECS/Fargaté e logs nativos das plataformas cloud. Soluções CSPM e CWP como Aqua Security, Prisma Cloud e Falco fornecem detecção em tempo real de criação de containers com comportamento anômalo. ## Telemetria | Plataforma | Fonte de Log | Evento / API Call | Notas | |------------|-------------|-------------------|-------| | Kubernetes | API Server Audit Logs | `POST /api/v1/namespaces/{ns}/pods`, `POST /apis/apps/v1/deployments` | Verificar `spec.containers[].securityContext.privileged` | | Docker | Docker Events / auditd | `docker creaté`, `docker run` | `docker events --filter type=container --filter event=creaté` | | AWS ECS | CloudTrail | `RunTask`, `CreateService`, `RegisterTaskDefinition` | Verificar `taskDefinition` para imagens não aprovadas | | Azure ACI | Activity Log | `Microsoft.ContainerInstance/containerGroups/write` | Correlacionar com imagens de registry externo | | GCP GKE | Cloud Logging | `k8s_cluster` resource, `io.k8s.core.v1.pods` `creaté` | Filtrar por `protoPayload.request.spec.containers` | ## Queries de Detecção ### KQL — Azure AKS: criação de container com imagem de registry externo ```kql AzureDiagnostics | where Category == "kube-audit" | where log_s contains "\"verb\":\"creaté\"" | where log_s contains "\"resource\":\"pods\"" | extend ImageName = extract("\"image\":\"([^\"]+)\"", 1, log_s) | where ImageName !startswith "mycompany.azurecr.io" and ImageName !startswith "mcr.microsoft.com" and ImageName != "" | extend User = extract("\"username\":\"([^\"]+)\"", 1, log_s) | project TimeGenerated, User, ImageName | order by TimeGenerated desc ``` ## Técnicas Relacionadas | Técnica | Nome | Relação | |---------|------|---------| | [[t1610-deploy-container\|T1610-deploy-container]] | Deploy Container | Técnica primária — criação de container malicioso para execução de código | | [[t1525-implant-internal-image\|T1525-implant-internal-image]] | Implant Internal Image | Criação de container a partir de imagem implantada pelo adversário | | [[t1612-build-image-on-host\|T1612-build-image-on-host]] | Build Image on Host | Construção de imagem maliciosa seguida de criação de container | > **Ver também:** [[ds0032-container|DS0032 — Container]], [[dc0077-container-start]], [[dc0037-pod-enumeration]], [[t1610-deploy-container|T1610-deploy-container]], [[t1068-exploitation-for-privilege-escalation|T1068-exploitation-for-privilege-escalation]] ## Contexto LATAM > [!info] Cryptojacking em Kubernetes no Brasil > Ambientes Kubernetes mal configurados têm sido alvo recorrente de campanhas de cryptojacking no Brasil e na América Latina. Grupos como TeamTNT e variantes têm criado containers de mineração de Monero em clusters com APIs Kubernetes expostas sem autenticação. O setor de tecnologia e startups brasileiras, que adotam Kubernetes extensivamente, são alvos frequentes. A [[LGPD]] não cobre diretamente o consumo indevido de recursos, mas incidentes de cryptojacking que expõem dados de aplicação co-hospedadas configuram violação notificável. Ferramentas como Falco, KubeArmor e Sysdig Secure fornecem detecção em tempo real de criação de containers suspeitos em clusters Kubernetes brasileiros. ## Referências - [MITRE ATT&CK — DC0072 Container Creation](https://attack.mitre.org/datacomponents/DC0072) - [MITRE ATT&CK — T1610 Deploy Container](https://attack.mitre.org/techniques/T1610/) - [Falco — Container Runtime Security](https://falco.org/docs/) - [NSA/CISA — Kubernetes Hardening Guidance](https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF) - [AWS ECS — CloudTrail Logging](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html)