# DC0091 — Container Enumeration ## Descrição **Container Enumeration** captura eventos e ações relacionados à listagem e identificação de contêineres ativos ou disponíveis em ambientes de orquestração de contêineres. Esse componente inclui informações sobre contêineres em execução, parados ou configurados, como nomes, IDs, status, imagens associadas e configurações de rede. A enumeração de contêineres é frequentemente uma das primeiras ações executadas por adversários após obter acesso inicial a um ambiente Kubernetes ou Docker, como parte da fase de descoberta. Identificar quantos contêineres estão em execução, quais serviços eles expõem e quais permissões possuem permite ao atacante mapear a superfície de ataque e selecionar alvos para movimentação lateral ou escalada de privilégios. Em ambientes Kubernetes, chamadas como `kubectl get pods --all-namespaces` executadas por identidades não autorizadas ou service accounts com escopo excessivo são indicadores concretos de reconhecimento interno. O monitoramento de chamadas à API do Kubernetes via Audit Logs é o mecanismo primário de detecção para este componente. ## Telemetria | Plataforma | Fonte de Log | Evento / Comando | |-----------|-------------|-----------------| | Kubernetes | API Server Audit Logs | `list pods`, `list deployments`, `list containers` | | Docker | Docker Daemon Logs | `docker ps`, `docker ps -a` | | AWS ECS | CloudTrail | `ListTasks`, `ListContainers`, `DescribeTasks` | | Azure AKS | Azure Monitor | `kubectl get pods` via API audit | | GCP GKE | Cloud Audit Logs | `container.googleapis.com/v1.list` | ## Queries de Detecção **Kubernetes API Audit — Enumeração por identidade não esperada:** ```json { "query": { "bool": { "filter": [ { "term": { "verb": "list" } }, { "terms": { "resource": ["pods", "containers", "deployments"] } }, { "term": { "responseStatus.code": 200 } } ], "must_not": [ { "terms": { "user.username": ["system:serviceaccount:kube-system:default", "admin"] } } ] } } } ``` > Execute no Elasticsearch/OpenSearch alimentado por logs de auditoria do Kubernetes. ## Técnicas Relacionadas - [[t1613-container-and-resource-discovery|T1613-container-and-resource-discovery]] — Técnica específica de descoberta de contêineres e recursos em ambientes cloud-native - [[t1526-cloud-service-discovery|T1526-cloud-service-discovery]] — Enumeração de serviços cloud como parte de reconhecimento amplo - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Descoberta de service accounts e permissões RBAC em clusters Kubernetes ## Contexto LATAM > [!info] Relevância para Brasil e América Latina > A adoção acelerada de Kubernetes por empresas de fintech e e-commerce no Brasil — sem maturidade equivalente em segurança cloud-native — cria oportunidades para adversários. Campanhas como as do grupo **TeamTNT** comprometeram clusters Kubernetes expostos para enumerar contêineres e escalar para cryptomining. Ferramentas como **kube-hunter** são frequentemente empregadas por atacantes para mapeamento inicial. O monitoramento de API Audit Logs do Kubernetes é prioritário e muitas vezes não está habilitado por padrão nas instalações gerenciadas (EKS, GKE, AKS). ## Referências - [MITRE ATT&CK — DC0091 Container Enumeration](https://attack.mitre.org/datacomponents/DC0091) - [Kubernetes — API Audit Logging](https://kubernetes.io/docs/tasks/debug/debug-cluster/audit/) - [AWS ECS — CloudTrail Events](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html) - [[ds0032-container|DS0032 — Container]] - [[t1613-container-and-resource-discovery|T1613-container-and-resource-discovery]] - [[_defenses|Hub de Defesas]]