det0083-container-cli-and-api-abuse-via-dockerkubernetes-t1059013

# DET0083 — Container CLI and API Abuse via Docker/Kubernetes (T1059.013) ## Descrição Esta estratégia cobre a detecção de abuso da CLI do Docker e da API do Kubernetes para execução de comandos maliciosos em ambientes de contêiner. Adversários exploram o acesso privilegiado ao Docker socket (`/var/run/docker.sock`) ou à API do Kubernetes para implantar novos contêineres, executar processos em contêineres existentes ou escalar privilégios para o host subjacente. Os indicadores mais relevantes incluem chamadas diretas ao socket Docker por processos não esperados, criação de contêineres com flags de privilégio elevado (`--privileged`, `--cap-add=SYS_ADMIN`), e execução de `kubectl exec` ou `docker exec` com shells interativos. Logs de audit do Kubernetes (API server audit log) e eventos do Docker daemon são as fontes primárias de telemetria. A estratégia também abrange escapes de contêiner via montagem do sistema de arquivos do host (`-v /:/host`) e uso de imagens não aprovadas de registries externos. Grupos de ameaça com foco em cloud como [[g0139-teamtnt]] e [[g0032-lazarus-group]] frequentemente exploram APIs de contêiner expostas para cryptomining e movimentação lateral. ## Indicadores de Detecção - Execução de `docker run --privileged` ou `docker run -v /:/host` por usuário não autorizado - Chamadas à API do Kubernetes com verbos `exec`, `creaté pod` ou `attach` de IPs externos - Criação de contêineres com imagens não presentes no registry aprovado - Processos acessando `/var/run/docker.sock` que não são daemons de gerenciamento legítimos - Comandos `kubectl exec` resultando em spawning de shell (`/bin/bash`, `/bin/sh`) - Atividade de namespace Kubernetes em namespaces `kube-system` por service accounts não esperadas ## Técnicas Relacionadas - [[t1059013-container-administration-command]] — Execução via CLI de contêiner - [[t1611-escape-to-host]] — Escape de contêiner para host - [[t1610-deploy-container]] — Implantação de contêiner malicioso - [[t1552-unsecured-credentials]] — Extração de credenciais de variáveis de ambiente em contêineres - [[t1078-valid-accounts]] — Uso de service accounts comprometidas ## Analytics Relacionadas - [[an0233-analytic-0233|AN0233 — Analytic 0233]] --- *Fonte: [MITRE ATT&CK — DET0083](https://attack.mitre.org/detectionstrategies/DET0083)*