容器安全告警事件概述

恶意软件

未分类恶意软件

通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。

Webshell

检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。

漏洞利用

漏洞逃逸攻击

HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警

文件逃逸攻击

HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。

系统异常行为

反弹Shell

实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

进程提权

当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。

HSS支持检测以下异常提权操作：

• 利用SUID程序漏洞进行root提权。
• 利用内核漏洞进行root提权。
• 对文件的提权。

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。

高危命令执行

实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。

容器进程异常

• 容器恶意程序

  HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

• 容器异常进程

  容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。

  对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。

敏感文件访问

HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

容器异常启动

HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。

HSS支持以下容器环境检测：

• 禁止启动特权容器(privileged:true)

  特权容器是指容器以最大权限启动，类似于操作系统的root权限，拥有最大能力。docker run启动容器时携带“ –privileged=true”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。

  告警名称为“容器安全选项”，告警内容中提示“privileged:true”，表示该容器以特权容器模式启动。

• 需要限制容器能力集（capabilities:[xxx]）

  Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。

  告警名称为“容器安全选项”，告警内容中提示“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。

• 建议启用seccomp（seccomp=unconfined）

  Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccomp=unconfined”，将不会对容器内的系统调用执行限制。

  告警名称“容器安全选项”，告警内容中提示“seccomp=unconfined”，表示该容器启动时没有启动seccomp，存在风险。

  说明：

  启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。

• 限制容器获取新的权限(no-new-privileges:false)

  进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。

  如果容器启动时指定了“ –no-new-privileges=false”，则该容器拥有权限提升的能力。

  告警名称为“容器安全选项”，告警内容中提示“no-new-privileges:false”，表示该容器关闭了提权限制，存在风险。

• 危险目录映射(mounts:[...])

  容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。

  HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“ /dev”，“/etc”，“/sys”，“/var/run”等。

  告警名称为“容器挂载目录”，告警内容中提示“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险，需要按照告警中的目录映射关系排查是否存在危险的映射，可以将认为安全的挂载路径配置到容器信息收集的策略中。

  说明：

  对于docker容器常用的需要访问的宿主文件如“ /etc/hosts”、“/etc/resolv.conf”不会触发告警。

• 禁止启动命名空间为host的容器

  容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。

  告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。

容器镜像阻断

在Docker环境中容器启动前，HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。

用户异常行为

非法系统用户账号

黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号；若存在可疑账号、克隆账号等，则触发告警。

暴力破解

检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。

支持检测容器场景下SSH、Web和Enumdb暴破行为。

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl