# DET0065 — Detection Strategy for Container Administration Command Abuse ## Descrição Adversários com acesso a ambientes de contêineres frequentemente abusam de comandos administrativos do Docker e Kubernetes para executar código malicioso, escalar privilégios e comprometer o host subjacente. O uso de `docker exec`, `kubectl exec` ou chamadas diretas à API do daemon Docker permite que um atacante execute shells interativos, faça download de ferramentas e explore configurações inseguras como sockets Docker expostos ou contêineres privilegiados. Esta estratégia de detecção monitora o uso anômalo de interfaces de administração de contêineres: execução de shells dentro de contêineres em produção via `exec`, criação de contêineres com flags de alto privilégio (`--privileged`, `--cap-add`), montagem do sistema de arquivos do host e tentativas de acesso ao socket Docker (`/var/run/docker.sock`) por processos não esperados. A correlação com o contexto do contêiner (imagem, namespace, serviceaccount) é essencial para reduzir falsos positivos. Em ambientes Kubernetes, o abuso de `kubectl exec` em pods de produção ou a criação de pods com configurações inseguras via API são sinais de alerta críticos. Grupos de ameaça focados em cloud e infraestrutura, como operadores de cryptomining e APTs voltados a ambientes DevOps, utilizam essa técnica para movimentação lateral entre contêineres e escape para o host. ## Indicadores de Detecção - Execução de `docker exec` iniciando shell interativo (`/bin/sh`, `/bin/bash`) em contêiner de produção - Uso de `kubectl exec` por contas de serviço ou usuários não autorizados - Criação de contêiner com flag `--privileged` ou com montagem de `/` do host - Acesso ao socket `/var/run/docker.sock` por processo fora do conjunto esperado - Download de ferramentas (curl, wget, nc) executado dentro de contêiner em runtime - Criação de pods Kubernetes com `hostPID: true`, `hostNetwork: true` ou `securityContext.privileged: true` ## Técnicas Relacionadas - [[t1609-container-administration-command|T1609 — Container Administration Command]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0177-analytic-0177|AN0177 — Analytic 0177]] --- *Fonte: [MITRE ATT&CK — DET0065](https://attack.mitre.org/detectionstrategies/DET0065)*