Container Malevoli: Deploy Container (T1610)

La simulazione di T1610 in laboratorio richiede un ambiente Docker o Kubernetes isolato. L'obiettivo è dimostrare quanto sia semplice, per un attaccante con accesso alle API di orchestrazione, deployare un container malevolo che sfugga ai controlli.

Scenario 1 — Docker API esposta. Se il daemon Docker ascolta su un socket TCP senza autenticazione, l'attaccante può creare un container privilegiato da remoto. In lab, simula l'esposizione del socket e poi lancia:

docker -H tcp://<target>:2375 run -d --privileged --pid=host --net=host -v /:/hostfs alpine sh -c "cat /hostfs/etc/shadow"

Questo comando crea un container Alpine con accesso completo al filesystem host, ai namespace PID e di rete. In un assessment reale è esattamente il pattern usato da malware come Doki e Kinsing, che venivano eseguiti tramite container Ubuntu deployati su host con Docker API non protetta.

Scenario 2 — Kubernetes con credenziali deboli. Utilizzando Peirates (open source), il tool specifico per il pentesting Kubernetes, è possibile simulare il deploy di un pod privilegiato che monta la root del nodo:

peirates

Dal menu interattivo, seleziona l'opzione per deployare un pod con mount del filesystem host. Peirates automatizza la creazione di un pod che monta / del nodo sotto una directory del container e apre una reverse shell, replicando fedelmente la catena d'attacco documentata.

Scenario 3 — kubectl diretto. Se disponi di un kubeconfig con permessi eccessivi, puoi creare un manifest YAML per un pod privilegiato:

kubectl apply -f pod-privileged.yaml

Il manifest deve specificare privileged: true, hostPID: true e un volumeMount verso / dell'host. Dopo il deploy, verifica l'escape con:

kubectl exec -it <pod-name> -- chroot /hostfs /bin/bash

Per il red team è fondamentale anche testare la detection: prima di lanciare questi scenari, assicurati che il blue team abbia visibilità sugli audit log di Kubernetes (kube-apiserver audit policy) e sugli eventi Docker. Strumenti come kube-bench (open source) permettono di verificare se il cluster è configurato secondo i CIS Benchmark prima dell'esercizio, evidenziando le debolezze che un attaccante sfrutterebbe.

La detection di container malevoli si gioca su due piani: il control plane (API di orchestrazione) e il node plane (runtime del container). Ignorare uno dei due lascia punti ciechi significativi.

Log source critici. Il punto di partenza sono i log del daemon Docker (docker:daemon, docker:events), i log del runtime containerd (containerd:runtime) e, in ambienti Kubernetes, gli audit log del kube-apiserver. Questi ultimi registrano ogni chiamata API, inclusa la creazione di pod, deployment e daemonset. Abilita una audit policy almeno a livello RequestResponse per le risorse pods, deployments, replicasets e daemonsets.

La catena comportamentale da monitorare, come descritto nella detection DET0249, è una sequenza temporale ravvicinata: create → start → prima attività di rete o processo entro una finestra di circa 5 minuti. Un container legittimo di CI/CD segue pattern prevedibili; un container anomalo mostra attributi di rischio combinati.

Attributi ad alto rischio da correlare nell'alert:

• Immagine non presente nella allow-list aziendale (o taggata latest senza digest)
• Flag runtime privilegiati: --privileged, --cap-add=SYS_ADMIN, hostPID, hostNetwork
• Mount di path sensibili: /var/run/docker.sock, /, /etc
• Principal non amministrativo o service account sconosciuto

Un singolo attributo può essere legittimo; la combinazione di due o più (ad esempio immagine sconosciuta + modalità privilegiata) deve generare alert. Configura una soglia minima (RiskThreshold) di almeno 2 attributi simultanei per ridurre i falsi positivi.

Falco (open source) è lo strumento di riferimento per la detection a livello di runtime. Le sue regole predefinite intercettano l'avvio di container privilegiati, il mount del socket Docker dall'interno di un container e l'esecuzione di shell in container appena creati. Per Kubernetes, integra Falco con Tracee (open source) di Aqua Security, che utilizza eBPF per catturare syscall a livello kernel senza agent invasivi.

Sul fronte preventivo, gli admission controller di Kubernetes — in particolare OPA Gatekeeper (open source) o Kyverno (open source) — permettono di bloccare il deploy di pod che violano le policy prima ancora che raggiungano il nodo. Configura constraint per negare privileged: true, mount di path host sensibili e immagini senza digest verificato.

Per la gestione dei falsi positivi, mantieni una lista aggiornata di service account CI/CD e immagini approvate con hash SHA256. Ogni alert va correlato con il contesto: chi ha fatto la richiesta API, da quale IP, con quale service account. Se il deploy proviene da una pipeline nota e l'immagine è firmata, l'alert può essere auto-chiuso.

L'analisi forense di un container malevolo presenta una sfida specifica: i container sono effimeri. Se il container è stato rimosso, gran parte degli artefatti interni svanisce — a meno che non si sia preparato l'ambiente con log persistenti.

Artefatti sul control plane. Il primo passo è recuperare gli audit log del kube-apiserver (in Kubernetes) o i log del daemon Docker. Cerca le chiamate API di tipo create e start per pod o container, annotando il timestamp, il principal (user o service account), l'immagine specificata e i parametri runtime. In Docker, il comando:

docker inspect <container-id>

restituisce la configurazione completa del container, inclusi mount, capability, variabili d'ambiente e network mode. Se il container è ancora attivo, esporta il filesystem con:

docker export <container-id> -o container_export.tar

Questo preserva l'intero contenuto per analisi offline.

Artefatti sul nodo host. Un container privilegiato che monta il filesystem host lascia tracce nel journal di sistema e nei log di autenticazione. Cerca in /var/log/auth.log o nel journal (journalctl) sessioni anomale originate da processi figli del runtime container. I layer delle immagini Docker sono conservati sotto /var/lib/docker/overlay2/: analizzare i layer diff permette di identificare file aggiunti dall'attaccante rispetto all'immagine base.

Il caso Kinsing è emblematico: il malware veniva eseguito attraverso un container Ubuntu deployato su host esposti. L'artefatto chiave è il binario di mining depositato nel layer superiore del filesystem overlay, insieme a script di bootstrap che disabilitavano agent di sicurezza e scaricavano payload aggiuntivi. Analogamente, Doki operava tramite container dedicati e comunicava con il C2 sfruttando il servizio DynDNS su blockchain Dogecoin — un artefatto di rete distintivo nei log di risoluzione DNS del nodo.

Peirates lascia tracce differenti: il pod creato dal tool monta esplicitamente / sotto un percorso interno e apre connessioni di reverse shell. Nei log del kube-apiserver si osserva la creazione di un pod con hostPath: / e privileged: true, seguita da un exec verso il pod stesso.

Per costruire la timeline, correla tre fonti: i log API (chi e quando ha deployato), i log runtime (cosa ha fatto il container nei primi minuti) e gli artefatti host (quali file sono stati toccati sul nodo). Strumenti come Velociraptor (open source) permettono di raccogliere artefatti da nodi Kubernetes in modo centralizzato, mentre log2timeline/Plaso (open source) consolida fonti eterogenee in un'unica super-timeline.

Il panorama di T1610 è dominato da un singolo gruppo documentato, ma il pattern operativo rivela tendenze più ampie nel targeting di infrastrutture cloud-native.

TeamTNT (G0139) è il gruppo di riferimento per questa tecnica. Specializzato nell'attacco a infrastrutture Docker e Kubernetes esposte, TeamTNT ha deployato diversi tipi di container nelle vittime per facilitare l'esecuzione di payload — in particolare software di cryptomining. Il gruppo non si limita a sfruttare host singoli: ha dimostrato la capacità di scoprire cluster Kubernetes all'interno di range IP locali e trasferirvi miner di criptovaluta, suggerendo una fase di discovery interna post-compromissione ben strutturata. Il pattern operativo tipico prevede: scansione massiva per Docker API esposte → deploy di container con immagine malevola → installazione di miner e backdoor → lateral movement verso altri nodi del cluster.

L'arsenale software associato a T1610 riflette tre approcci distinti. Kinsing rappresenta il modello "immagine trojanizzata": viene eseguito tramite un container Ubuntu apparentemente legittimo, ma che al runtime scarica e lancia il payload. Doki segue un pattern simile ma con una peculiarità nel C2 — la risoluzione dell'indirizzo di comando e controllo avviene attraverso la blockchain, rendendo l'infrastruttura più resiliente ai takedown. Peirates, invece, è un tool offensivo purpose-built per Kubernetes: non si limita a deployare container, ma sfrutta il pod privilegiato come ponte per l'escape-to-host e il pivoting tra nodi.

Il trend emergente è la convergenza tra cryptojacking e intrusioni più sofisticate. I gruppi che inizialmente deployavano container solo per il mining stanno evolvendo verso obiettivi di persistenza e furto dati. La mancanza di campagne formali documentate non deve ingannare: l'assenza indica piuttosto che queste operazioni sono continue e opportunistiche, non limitate a campagne discrete.

Per il threat intelligence, il segnale più utile è monitorare le immagini Docker pubbliche su Docker Hub e registri alternativi: la presenza di immagini con nomi che imitano tool legittimi (typosquatting) o con layer nascosti contenenti binari di mining è un indicatore precoce di operazioni in preparazione. Servizi come Docker Scout (freemium) permettono l'analisi delle vulnerabilità nelle immagini, mentre il monitoraggio dei registri pubblici può essere automatizzato con script che interrogano le API di Docker Hub.

Framework MITRE ATT&CK v16 — Tecnica T1610, Tattica TA0002, Tattica TA0005, Gruppo G0139, Software S0599, S0600, S0683, Mitigazioni M1018, M1030, M1035, M1047, Detection DET0249. Tool di detection: Falco, Tracee, OPA Gatekeeper, Kyverno, Velociraptor, Plaso. Integrato con conoscenza professionale per tool e procedure operative.