容器安全告警事件概述

恶意软件

恶意软件可能是黑客入侵成功之后植入的病毒、蠕虫、木马、后门等，用于窃取数据或攫取不当利益。

例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。

未分类恶意软件

通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。

病毒

对容器进行实时检测，对在容器环境中发现的各种病毒进行告警上报。

蠕虫

对容器中入侵的蠕虫或已存在的蠕虫进行检测，并进行告警上报。

木马

对容器中入侵的木马或已存在的木马病毒进行检测、查杀，并进行告警上报。

僵尸网络

对容器中入侵的僵尸网络或已存在的僵尸网络进行检测、查杀，并进行告警上报。

后门

检测容器中存在的后门，并进行告警上报。

rootkits

检测容器资产，对可疑的内核模块和可疑的文件或文件夹进行告警上报。

勒索软件

检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。

Webshell

检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。

黑客工具

检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。

挖矿软件

对隐藏在正常程序中具备破坏和删除文件、发送密码、记录键盘等特殊功能的程序进行检测，发现时立即进行告警上报。

漏洞利用

漏洞利用是指利用服务器系统、软件或网络中存在的漏洞，以获取未授权访问权限、窃取数据或对目标系统进行破坏的行为。

漏洞利用通常被分为远程利用和本地利用。远程漏洞利用指攻击者利用网络连接到目标系统，挖掘系统漏洞实施攻击。本地漏洞利用指攻击者已在目标系统上取得低权限访问后，利用漏洞升级权限或执行其他恶意操作。

漏洞逃逸攻击

漏洞逃逸攻击是指攻击者利用应用程序漏洞、容器基础设施/编排系统漏洞、容器运行时漏洞等，通过一些操作或手段，绕过安全机制，获取未授权的访问权限或执行未授权操作等。

HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。

文件逃逸攻击

文件逃逸攻击是指攻击者利用文件系统或应用程序漏洞，绕过文件权限限制，访问或修改未经授权的文件或目录。

HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。

SQL注入

实时检测SQL注入攻击，同时检测Java应用是否存在对应漏洞。

SQL注入（SQL Injection）是一种攻击技术，攻击者利用Web应用程序中构建动态SQL查询的漏洞缺陷，在用户输入字段中插入恶意代码，欺骗数据库执行SQL命令，从而窃取、篡改或破坏各类敏感数据，甚至是在数据库主机上执行危险的系统级命令。由于绝大多数网站和Web应用都需要使用SQL数据库，这使得SQL注入攻击成为了最古老、分布最广的网络攻击类型之一。

支持的操作系统：Linux、Windows。

命令注入

检测远程OS命令注入攻击，同时检测Java应用是否存在对应漏洞。

OS命令注入（OS Command Injection）是一个Web程序漏洞，这种漏洞通常出现在需要用户输入命令的应用程序中，如果用户输入没有有效的过滤和验证机制，就可能导致该漏洞。它允许攻击者在运行应用程序的服务器上执行任意的操作系统命令。

XSS攻击

检测存储型跨站脚本注入攻击。

XSS（Cross-Site Scripting，跨站脚本攻击）是一种典型的Web程序漏洞利用攻击。攻击者利用Web程序对用户输入检查不足的漏洞将可执行恶意脚本注入网站或Web应用，当用户访问网页时触发恶意脚本的执行，从而达到窃取用户个人数据、弹出广告，甚至篡改网页内容等攻击目的。

支持的操作系统：Linux、Windows。

XML注入

检测XML外部实体攻击，同时检测Java应用是否存在对应漏洞。

XML外部实体注入（XML External Entity Injection）漏洞。如果应用程序在解析XML文件时，没有禁用外部实体引用，攻击者可通过构造恶意的XML内容，读取任意文件、执行系统命令等。

代码注入

检测表达式注入和反序列化输入等攻击。

表达式注入即EL表达式注入（EL Injection），当EL表达式外部可控时，攻击者可以通过构造恶意的EL表达式让程序执行恶意操作。

反序列化指的是将序列化的数据（字符串、字节流等）恢复为原始对象的过程。在生成反序列化对象过程中，攻击者可以通过构造特定的序列化数据输入，控制生成的对象，从而实现一些恶意攻击。

命令执行

检测执行的命令中是否含有0 day漏洞等安全漏洞，避免黑客利用这些漏洞进行网络攻击。

JNDI注入攻击

检测JNDI注入攻击，同时检测Java应用是否存在对应漏洞。

当应用使用JNDI的lookup方法时，如果查询的URL可以由外部控制，攻击者可以构造恶意的URL，使得服务器加载恶意载荷，从而实现远程代码执行。

SSH登录逃逸

检测容器通过SSH登录主机后，利用主机权限执行恶意操作突破隔离的操作。攻击者利用该操作可获取主机资源控制权，危害系统安全。

系统异常行为

系统异常行为是指服务器在运行过程中出现的不正常行为，这种行为通常是由于系统故障、恶意攻击或其他安全漏洞引起的。系统异常行为可能会导致数据丢失、系统瘫痪等问题。因此，及时发现和处理系统异常行为是保障服务器系统和数据安全的重要措施之一。

反弹Shell

实时监控用户的进程行为，支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。

支持对TCP、UDP、ICMP等协议的检测。

您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

如需反弹Shell自动化阻断，可在“策略管理”的“HIPS检测”策略中开启“自动化阻断”。

目前支持阻断的反弹shell类别：exec反弹Shell、Perl反弹Shell、AWK反弹Shell、Python反弹Shell.b、Python反弹Shell.a、Lua反弹Shell、mkfifo/openssl反弹Shell、PHP反弹Shell、Ruby反弹Shell、使用rssocks进行反向代理、Bash反弹Shell、Ncat反弹Shell、exec重定向反弹Shell、Node反弹Shell、Telnet双端口反弹Shell、nc反弹Shell、Socat反弹Shell、rm/mkfifo/sh/nc反弹Shell、socket/tchsh反弹Shell。

文件提权

检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。

进程提权

当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。

HSS支持检测以下异常提权操作：

• 利用SUID程序漏洞进行root提权。
• 利用内核漏洞进行root提权。
• 对文件的提权。

关键文件变更

实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。

对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。

文件/目录变更

实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。

进程异常行为

检测容器进程信息，包括进程ID、命令行、进程路径、行为等，当进程出现无故崩溃、占用过多资源、产生网络连接等异常行为时进行告警。

高危系统调用

Linux系统调用是用户进程进入内核执行任务的请求通道。HSS实时监控容器进程，如果发现进程使用了危险系统调用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。

异常Shell

检测容器系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。

高危命令执行

实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。

容器进程异常

• 容器恶意程序

  HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。

• 容器异常进程

  容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。

  对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。

敏感文件访问

HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。

容器异常启动

HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。

HSS支持以下容器环境检测：

• 禁止启动特权容器(privileged:true)

  特权容器是指容器以最大权限启动，类似于操作系统的root权限，拥有最大能力。docker run启动容器时携带“ –privileged=true”参数，或者kubernetes POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。

  告警名称为“容器安全选项”，告警内容中提示“privileged:true”，表示该容器以特权容器模式启动。

• 需要限制容器能力集（capabilities:[xxx]）

  Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。

  告警名称为“容器安全选项”，告警内容中提示“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。

• 建议启用seccomp（seccomp=unconfined）

  Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccomp=unconfined”，将不会对容器内的系统调用执行限制。

  告警名称“容器安全选项”，告警内容中提示“seccomp=unconfined”，表示该容器启动时没有启动seccomp，存在风险。

  说明：

  启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。

• 限制容器获取新的权限(no-new-privileges:false)

  进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。

  如果容器启动时指定了“ –no-new-privileges=false”，则该容器拥有权限提升的能力。

  告警名称为“容器安全选项”，告警内容中提示“no-new-privileges:false”，表示该容器关闭了提权限制，存在风险。

• 危险目录映射(mounts:[...])

  容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。

  HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“ /dev”，“/etc”，“/sys”，“/var/run”等。

  告警名称为“容器挂载目录”，告警内容中提示“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险，需要按照告警中的目录映射关系排查是否存在危险的映射，可以将认为安全的挂载路径配置到容器信息收集的策略中。

  说明：

  对于docker容器常用的需要访问的宿主文件如“ /etc/hosts”、“/etc/resolv.conf”不会触发告警。

• 禁止启动命名空间为host的容器

  容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。

  告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。

容器镜像阻断

在Docker环境中容器启动前，HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。

可疑命令执行

• 检测通过命令或工具创建、删除计划任务或自启动任务。
• 检测远程执行命令的可疑行为。

运行时异常行为

运行时异常行为是指在容器运行过程中出现的一些可疑行为，这些行为可能会对容器安全造成影响，甚至被攻击者利用实现容器逃逸。

HSS的运行时异常行为检测功能提供网络、主机、Pod、容器、进程、系统调用多层次防护，可监控容器宿主机和容器内出现的进程、文件、网络活动、进程Capabilities、系统调用共5种异常行为，支持对异常行为进行告警和阻断，阻止容器逃逸，保护容器运行时的安全。

• 进程监控：监控容器宿主机或容器内的可疑进程行为，检测并阻止异常的系统调用和进程操作，例如使用“cdk evaluate”，通过容器渗透测试工具收集容器信息。
• 文件系统监控：监控容器宿主机或容器内的文件系统操作，检测并阻止未经授权的文件访问和修改，例如执行“echo "test"  /etc/profile”，修改系统关键文件。
• 网络活动监控：监控容器宿主机或容器内的网络活动，检测并阻止异常的网络连接和数据传输，例如执行“wget 127.0.0.x”，在容器内连接目的IP。
• 进程Capabilities监控：监控容器宿主机或容器内的进程Capabilities，检测并阻止可疑的Capabilities配置，例如执行“mknod -m 640 /tmp/test4 c 100 2”，挂载特殊字符串设备。
• 系统调用监控：监控容器宿主机或容器内的系统调用，检测并阻止高危的系统调用，例如执行“chown  root.root  /opt/testfile”，修改容器内文件的属主属组。

满足以下条件的容器可以使用运行时异常行为检测功能：

• linux内核版本大于等于5.10。
• 系统需要开启BPF LSM。

如需使用运行时异常行为检测功能，需要配置并开启容器防逃逸策略，具体操作请参见配置策略。

异常命令执行

检测攻击者通过Webshell或其他漏洞在服务器上执行未经授权的系统命令的行为，如执行恶意命令cmd、bash命令等。

数据库连接异常

检测数据库连接异常，包括认证异常、通信异常等，一旦发现立即告警上报。

用户异常行为

用户异常行为是指在特定环境或系统中，用户的行为模式与正常行为模式不符，或者在短时间内出现了异常的、突发的行为，这些行为可能表现为异常登录、非法访问等。为了检测和识别这些异常行为，需要对用户的操作进行分析检测。

非法系统用户账号

黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。

HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。

暴力破解

黑客通过账户暴力破解成功登录容器后，便可获得容器的控制权限，并进而执行一系列恶意操作，包括但不限于窃取用户数据、实施勒索加密、植入挖矿程序、部署DDoS木马攻击等，严重危害容器的安全。

HSS支持在容器运行时监控SSH、MySQL和 vsftp服务的登录行为，以检测是否遭受暴力破解攻击。每个容器节点支持检测的容器SSH服务实例最多为3个，MySQL或vsftp服务实例最多为5个，超出部分将不进行暴力破解攻击检测。

默认情况下，当同一IP地址在30秒内连续输入错误密码达5次及以上，或者1小时内连续输入错误密码达15次及以上时，HSS将不区分具体的登录用户，根据最后一次尝试登录的用户名进行告警。如需修改暴力破解检测规则请参见登录安全检测。

异常登录

检测攻击者通过暴力破解成功登录主机的异常登录事件。

用户密码窃取

检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。

网络异常访问

网络异常访问指的是网络连接或数据传输过程中出现的不符合正常使用模式的异常情况，这些异常包括资源异常使用、非授权访问、异常连接等。服务器中出现网络异常访问行为可能是遭受攻击的前兆。

异常外联行为

检测容器中存在异常外联可疑ip的行为，一旦发现进行告警上报。

仅支持检测5.10及以上内核版本的容器。

端口转发检测

检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

信息破坏

信息破坏是指未经授权对信息系统的数据进行非法修改、删除或破坏的行为，目的是破坏信息的完整性、可用性。

目录遍历

检测目录遍历行为，一旦发现立即告警上报。

目录遍历（Directory Traversal），又称路径遍历（Path Traversal），是一种利用应用程序对文件路径验证不严的安全漏洞。攻击者通过构造特殊路径字符串（如"../"），访问应用程序预期范围之外的文件系统目录和文件，可能导致敏感信息泄露、系统文件被篡改等安全风险。

集群异常行为

集群异常行为是指在集群环境中出现的异常行为，比如Pod创建或执行异常、枚举用户信息等，这些异常可能表明集群正在遭受攻击。

Pod异常行为

检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。

枚举用户信息

检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。

绑定集群用户角色

检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。

Kubernetes事件删除

检测集群中删除Kubernetes事件的行为，一旦发现进行告警上报。

无文件攻击

无文件攻击是一种网络攻击方式，它在实施一次完整的攻击过程中，没有释放恶意的可执行文件，而是直接将恶意代码写入系统内存或注册表中。由于没有恶意文件，这种攻击方式往往很难被发现。

无文件攻击按照磁盘文件的活动，被分成3个类型：

• 没有任何的文件活动

  即攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为，一般这种攻击活动都脱离了操作系统，是由更上层的硬件固件和软件层发起的。

• 通过文件间接活动

  即没有磁盘落地文件，但通过文件间接活动。恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本，通过程序命令执行，也有通过磁盘引导记录等特定机制的执行。

• 需要操作文件进行活动

  通常来说就是恶意代码变成了数据，攻击者利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

进程注入

检测将恶意代码注入到正在运行的进程的行为，一旦发现立即告警上报。

动态库注入进程

检测通过劫持动态链接库中的函数，从而实现白加黑注入代码的行为，一旦发现立即告警上报 。

内存文件进程

检测通过memfd_create的系统调用，创建一个只存在于RAM中的匿名恶意文件，从而执行恶意文件的行为，一旦发现立即告警上报。

致命

致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。

高危

高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。

中危

中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。

低危

低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。

bin

/bin/ls

/bin/ps

/bin/bash

/bin/login

usr

/usr/bin/ls

/usr/bin/ps

/usr/bin/bash

/usr/bin/login

/usr/bin/passwd

/usr/bin/top

/usr/bin/killall

/usr/bin/ssh

/usr/bin/wget

/usr/bin/curl