det0490-detection-strategy-for-container-and-resource-discovery

# DET0490 — Detection Strategy for Container and Resource Discovery ## Descrição A descoberta de containers e recursos em ambientes de nuvem e Kubernetes é uma atividade de reconhecimento pós-comprometimento em que adversários mapeiam a infraestrutura disponível para identificar alvos adicionais, dados sensíveis ou capacidade computacional para mineração de criptomoedas. Comandos como `docker ps`, `kubectl get pods`, `kubectl get namespaces` e chamadas às APIs de serviços de nuvem (AWS ECS, Azure AKS, GKE) são usados para enumerar containers em execução e recursos acessíveis. Essa técnica está associada a [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] no MITRE ATT&CK. Em ambientes Kubernetes comprometidos, adversários com acesso a um pod frequentemente usam credenciais de service account para descobrir outros recursos no cluster via kubectl ou chamadas diretas à API do Kubernetes. Grupos especializados em ataques a infraestrutura de nuvem como [[g0139-teamtnt|TeamTNT]] e [[g0032-lazarus-group|Lazarus Group]] documentadamente realizam enumeração extensiva de containers antes de instalar mineradores ou se mover lateralmente para outros namespaces e clusters. A detecção eficaz requer auditoria das APIs do Kubernetes (audit logs habilitados no API server), monitoramento de chamadas às APIs de metadados de instâncias de nuvem (169.254.169.254) e análise de comportamento de service accounts. A execução de comandos kubectl por pods que normalmente não precisam interagir com a API do Kubernetes é um indicador crítico de comprometimento. ## Indicadores de Detecção - Chamadas à API do Kubernetes (`GET /api/v1/pods`, `/namespaces`) por service account sem necessidade funcional documentada - Acesso ao endpoint de metadados de instância de nuvem (169.254.169.254) por pod de aplicação - Execução de `docker inspect`, `docker ps -a` ou `kubectl describe` por processo de container não administrativo - Service account com permissões `list` e `get` em múltiplos recursos sendo usado extensivamente após comprometimento - Enumeração de secrets do Kubernetes (`kubectl get secrets`) por service account de namespace incorreto - Processo em container realizando chamadas de API para serviços de nuvem (AWS, GCP, Azure) não utilizados pela aplicação - Scanning de portas ou discovery de serviços internos a partir de um único pod em curto intervalo de tempo ## Técnicas Relacionadas - [[t1613-container-and-resource-discovery|T1613 — Container and Resource Discovery]] - [[T1552.007-unsecured-credentials-container-api|T1552.007 — Container API]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] ## Analytics Relacionadas - [[an1352-analytic-1352|AN1352 — Analytic 1352]] --- *Fonte: [MITRE ATT&CK — DET0490](https://attack.mitre.org/detectionstrategies/DET0490)*