det0428-detection-strategy-for-bind-mounts-on-linux

# DET0428 — Detection Strategy for Bind Mounts on Linux ## Descrição Bind mounts no Linux permitem montar um diretório ou arquivo sobre outro caminho do sistema de arquivos, fazendo com que ambos apontem para o mesmo conteúdo subjacente. Adversários com privilégios de root abusam desse mecanismo para sobrescrever arquivos do sistema críticos — como `/etc/passwd`, `/etc/sudoers` ou binários de sistema — sem modificar o arquivo original, contornando monitoramento de integridade de arquivos (FIM) que monitora os inodes originais. Em ambientes de containers (Docker, Kubernetes), bind mounts são utilizados para escapar do isolamento do container: montar o sistema de arquivos do host dentro do container (`docker run -v /:/host`) permite ao adversário ler e escrever em qualquer arquivo do host. Essa técnica é um vetor clássico de container escape em ambientes mal configurados, frequentemente combinada com comprometimento de um container para atingir o nó Kubernetes subjacente. A detecção foca no monitoramento de chamadas de sistema `mount(2)` com flag `MS_BIND` por processos não esperados, e na verificação de entradas em `/proc/mounts` ou via `findmnt` que revelem bind mounts incomuns. Ferramentas de auditoria do Linux (auditd) com regras para syscall `mount` são a fonte primária de detecção em sistemas bare-metal e VMs. ## Indicadores de Detecção - Chamada de sistema `mount` com tipo `bind` por processo não relacionado a contêineres ou administração de sistema - Entradas em `/proc/mounts` mostrando bind mounts de diretórios de sistema sobre caminhos sensíveis - `docker run` ou `kubectl` com flags `-v /:/` ou `--volume /etc:/mnt/etc` fora de operações autorizadas - Modificação de `/etc/fstab` adicionando entradas de bind mount por processo não-root - Uso de `unshare --mount` para criar namespace de mount e bind mount de sistemas de arquivos do host ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[T1222002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 — Linux and Mac File and Directory Permissions Modification]] - [[T1548003-sudo-and-sudo-caching|T1548.003 — Sudo and Sudo Caching]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1196-analytic-1196|AN1196 — Analytic 1196]] --- *Fonte: [MITRE ATT&CK — DET0428](https://attack.mitre.org/detectionstrategies/DET0428)*