# DET0249 — Behavior-chain detection for T1610 Deploy Container across Docker & Kubernetes control/node planes ## Descrição Detecta implantação não autorizada de containers como técnica de execução e persistência em ambientes Docker e Kubernetes. Adversários com acesso ao Docker daemon ou à API do Kubernetes API Server podem implantar containers privilegiados para executar código arbitrário no nó subjacente, escapar para o host ou implantar ferramentas de mineração e C2. A cadeia de comportamento monitorada inclui: chamada à API Docker/Kubernetes para criação de workload → container iniciado com capacidades elevadas → atividade anômala (mount de sistema de arquivos do host, execução de comandos no namespace do host, criação de cronjob para persistência). Detecção em plano de controle e plano de nó são ambas necessárias. A telemetria requerida engloba Kubernetes audit logs (API Server), eventos de containerd/Docker daemon, Falco runtime rules, network policies e alertas de ferramentas KSPM (Kubernetes Security Posture Management) como Aqua, Sysdig ou Prisma Cloud. ## Indicadores de Detecção - `kubectl creaté deployment`, `apply` ou `run` por ServiceAccount com acesso incomum - Container com `securityContext.privileged: true` ou `hostPID/hostNetwork: true` - Montagem de `/proc`, `/sys` ou `/host` via `hostPath` volume sem justificativa - Pod criado em namespace `kube-system` ou `default` por usuário não-administrador - Execução de `docker run --rm -v /:/host` ou equivalente no daemon local - CronJob Kubernetes criado com schedule de alta frequência por identidade anômala ## Técnicas Relacionadas - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] ## Analytics Relacionadas - [[an0693-analytic-0693|AN0693 — Analytic 0693]] --- *Fonte: [MITRE ATT&CK — DET0249](https://attack.mitre.org/detectionstrategies/DET0249)*