det0198-detect-abuse-of-container-apis-for-credential-access

# DET0198 — Detect Abuse of Container APIs for Credential Access ## Descrição Esta estratégia detecta o abuso de APIs de orquestração de containers para acesso a credenciais — mapeada para [[T1552 — Unsecured Credentials]] e [[T1613 — Container and Resource Discovery]]. Adversários que comprometem um container ou pod Kubernetes exploram APIs do Docker daemon, kubelet API ou API server para acessar secrets, service account tokens, variáveis de ambiente com credenciais, e metadados de cloud provider disponíveis via IMDS. A detecção monitora chamadas incomuns às APIs de container: acesso ao endpoint de metadata do kubelet (`/api/v1/pods`) por workloads não-privilegiados, leitura de secrets do namespace kube-system, montagem de volumes de host sensíveis, e acesso ao IMDS (Instance Metadata Service) da cloud a partir de containers para obter IAM credentials. Logs de auditoria do Kubernetes API server são a fonte primária de telemetria. O analytics AN0571 correlaciona: pod fazendo requisição ao kubelet API ou API server sem ServiceAccount adequada, acesso a secrets de outros namespaces, chamadas ao IMDS (169.254.169.254) de dentro de container, e leitura de variáveis de ambiente de outros containers via Docker API. A combinação de acesso a API + exfiltração subsequente de tokens confirma comprometimento. ## Indicadores de Detecção - Requisição ao endpoint `/api/v1/namespaces/kube-system/secrets` por pod não-administrativo - Acesso ao IMDS (`169.254.169.254`) de dentro de container em cluster Kubernetes - `kubectl exec` para container privilegiado seguido de leitura de `/var/run/secrets/kubernetes.io/serviceaccount/token` - Docker daemon API (`/var/run/docker.sock`) acessado de dentro de container - Listagem de secrets via `kubectl get secrets --all-namespaces` por ServiceAccount de aplicação - Acesso a volumes montados de `/etc/kubernetes/pki` ou `/var/lib/kubelet/` a partir de pod - Requisição a API de metadados AWS/GCP/Azure de container com IAM role privilegiada ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0571-analytic-0571|AN0571 — Analytic 0571]] --- *Fonte: [MITRE ATT&CK — DET0198](https://attack.mitre.org/detectionstrategies/DET0198)*