# DET0459 — Detection Strategy for Build Image on Host ## Descrição Adversários com acesso a ambientes de containerização (Docker, Kubernetes, Podman) podem construir imagens de container maliciosas diretamente no host comprometido, incorporando backdoors, ferramentas de movimento lateral ou implantes de mineração. Essa técnica (T1612) permite que o adversário crie infraestrutura persistente dentro do ambiente cloud-native da vítima, dificultando a detecção porque as imagens maliciosas podem parecer fazer parte do ciclo de vida de desenvolvimento legítimo. A construção de imagens em hosts de produção é um sinal de alerta importante, pois ambientes bem gerenciados utilizam pipelines de CI/CD dedicados para build de imagens, nunca realizando builds diretamente em servidores de produção. Adversários frequentemente modificam Dockerfiles legítimos para adicionar camadas maliciosas, ou criam imagens FROM scratch com ferramentas de ataque pré-instaladas que são então registradas em registries privadas para distribuição posterior. A detecção deve monitorar execução de `docker build`, `podman build` ou chamadas à API do Docker daemon fora de pipelines de CI/CD autorizados, identificar a criação de imagens com layers contendo ferramentas de ofensiva conhecidas, e alertar sobre push de imagens para registries não autorizadas. ## Indicadores de Detecção - Execução de `docker build` ou `podman build` em host de produção fora de pipeline de CI/CD - Chamada à API Docker (`/var/run/docker.sock`) por processo que não sejá agente de CI/CD autorizado - Dockerfile criado em diretório temporário com instruções `RUN curl`, `RUN wget` ou `RUN apt install` para ferramentas de rede - Imagem construída localmente com tag que imita imagens oficiais de base (ex: `ubuntu:latest` construída localmente) - Push de imagem para registry externo não autorizado após build em host - Container privilegiado (`--privileged`) iniciado a partir de imagem recém-construída localmente ## Técnicas Relacionadas - [[t1612-build-image-on-host|T1612 — Build Image on Host]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an1261-analytic-1261|AN1261 — Analytic 1261]] --- *Fonte: [MITRE ATT&CK — DET0459](https://attack.mitre.org/detectionstrategies/DET0459)*