det0219-detection-strategy-for-escape-to-host

# DET0219 — Detection Strategy for Escape to Host ## Descrição Esta estratégia detecta tentativas de escape de container para o sistema host subjacente — mapeada para [[T1611 — Escape to Host]]. Adversários que comprometem um container Docker, pod Kubernetes ou sandbox tentam escapar para o host para obter acesso persistente e irrestrito ao sistema físico, contornando o isolamento de container. Técnicas incluem exploração de vulnerabilidades no runtime de container, abuso de capacidades Linux excessivas, montagem do filesystem host, e acesso ao Docker socket. A detecção combina monitoramento de chamadas de sistema (eBPF/seccomp violations), anomalias de namespace Linux, e acesso a recursos do host a partir de contexto de container. Indicadores como processos vendo PIDs do host (`/proc/1/` apontando para init do host ao invés do container), montagem de volumes de host sensíveis, e capacidades Linux excessivas (`SYS_ADMIN`, `SYS_PTRACE`) são relevantes. Quatro analytics cobrem vetores distintos: container com capacidade `SYS_ADMIN` fazendo mount de host filesystem, acesso ao Docker socket de dentro de container, exploração de vulnerabilidade de runtime (runc, containerd) detectada por behavior anomaly, e container com `hostPID: true` acessando processos do host. Ferramentas como Falco com regras de escape to host detection são fontes complementares de telemetria. ## Indicadores de Detecção - Container fazendo `mount` de `/proc`, `/sys` ou `/dev` do host (não apenas subdiretórios de container) - Processo em container acessando `/var/run/docker.sock` ou socket do container runtime - Container com `CAP_SYS_ADMIN` executando `unshare --mount` para criar novo namespace de mount - `nsenter --target 1 --mount --uts --ipc --net --pid` a partir de dentro de container - Container acessando `/proc/1/ns/` e encontrando namespaces do host ao invés do container - Processo em container com UID 0 (root) executando chamadas de sistema bloqueadas por seccomp padrão - `cgroup` escape via vulnerabilidade: escrita em `/sys/fs/cgroup/release_agent` de dentro de container ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] ## Analytics Relacionadas - [[an0612-analytic-0612|AN0612 — Analytic 0612]] - [[an0613-analytic-0613|AN0613 — Analytic 0613]] - [[an0614-analytic-0614|AN0614 — Analytic 0614]] - [[an0615-analytic-0615|AN0615 — Analytic 0615]] --- *Fonte: [MITRE ATT&CK — DET0219](https://attack.mitre.org/detectionstrategies/DET0219)*