det0248-user-execution-malicious-image-containers-iaas-pullrun-start-anomalous-b

# DET0248 — User Execution – Malicious Image (containers & IaaS) – pull/run → start → anomalous behavior (T1204.003) ## Descrição Detecta a cadeia de execução maliciosa iniciada pelo pull e execução de imagens de container ou VM comprometidas em ambientes IaaS. Adversários públicam imagens contaminadas em registries públicos (Docker Hub, GitHub Container Registry) para induzir usuários a executar código malicioso, frequentemente disfarçado de imagens legítimas (typosquatting de `nginx`, `alpine`, `python`). O padrão comportamental inclui: pull de imagem de registry não aprovado ou com digest não verificado → execução do container → comportamento anômalo (reverse shell, cryptominer, exfiltração). O foco está na cadeia de eventos pós-execução: network connections de saída inesperadas, criação de processos privilegiados e tentativas de escape de container. A telemetria necessária abrange logs do container runtime (containerd, CRI-O), eventos de auditoria do Kubernetes (API Server audit), detecção de network flows anômalos de pods, e scanning de imagens por ferramentas como Trivy, Grype ou Falco para detecção de comportamento em tempo de execução. ## Indicadores de Detecção - Pull de imagem de registry não listado na política de imagens aprovadas (allowlist) - Container iniciado com flags `--privileged`, `--net=host` ou montagem de `/var/run/docker.sock` - Processo filho de `containerd-shim` ou `runc` executando `curl`, `wget` ou `bash -i` - Network connection de saída para IP externo não mapeado originado de container em produção - Container com `entrypoint` ou `cmd` modificados em relação à imagem original públicada - Imagem sem assinatura Cosign ou sem policy de verificação de proveniência (SLSA) ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1525-implant-internal-image|T1525 — Implant Internal Image]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0691-analytic-0691|AN0691 — Analytic 0691]] - [[an0692-analytic-0692|AN0692 — Analytic 0692]] --- *Fonte: [MITRE ATT&CK — DET0248](https://attack.mitre.org/detectionstrategies/DET0248)*