det0206-detection-of-malicious-kubernetes-cronjob-scheduling

# DET0206 — Detection of Malicious Kubernetes CronJob Scheduling ## Descrição Esta estratégia detecta criação de CronJobs maliciosos em clusters Kubernetes para estabelecer persistência ou executar tarefas maliciosas recorrentes — mapeada para [[T1053.007 — Container Orchestration Job]]. Adversários com acesso ao API server Kubernetes criam CronJobs que executam containers privilegiados em intervalos regulares, usando essas tarefas agendadas para manter acesso, executar mineradores de criptomoeda, ou persistir após remediação de outros vetores. A detecção monitora criação de recursos CronJob via Kubernetes API audit log (`audit.k8s.io`), identificando CronJobs com características suspeitas: imagens de containers de registries não-aprovados, uso de `hostPID: true` ou `hostNetwork: true`, montagem de volumes de host sensíveis, e service accounts com permissões excessivas. A correlação com eventos de criação de namespace e alteração de RBAC identifica preparação de ambiente para persistência. O analytics AN0582 foca em: criação de CronJob por ServiceAccount ou usuário não-administrativo, CronJob com schedule muito frequente (a cada minuto), containers privilegiados em CronJob, e CronJobs usando imagens de registries externos não-whitelisted. Integração com ferramentas como Falco ou OPA Gatekeeper adiciona detecção em tempo real. ## Indicadores de Detecção - `kubectl creaté cronjob` ou criação via API de CronJob com `schedule: "*/1 * * * *"` (a cada minuto) - CronJob com `spec.jobTemplaté.spec.templaté.spec.containers[*].securityContext.privileged: true` - CronJob usando imagem de registry não-whitelisted (`docker.io`, imagem customizada de IP público) - CronJob com `hostPID: true`, `hostNetwork: true` ou `hostIPC: true` - Criação de CronJob em namespace de sistema (`kube-system`, `kube-public`) por conta não-admin - CronJob montando `/var/run/docker.sock`, `/proc` ou `/sys` do host como volume - CronJob com ServiceAccount vinculada a ClusterRole `cluster-admin` ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] ## Analytics Relacionadas - [[an0582-analytic-0582|AN0582 — Analytic 0582]] --- *Fonte: [MITRE ATT&CK — DET0206](https://attack.mitre.org/detectionstrategies/DET0206)*