Comandi nei Container: Container CLI/API (T1059.013)

Per simulare questa tecnica in laboratorio serve un ambiente Docker o un cluster Kubernetes locale. Minikube (open source) o kind (open source) sono perfetti per costruire un cluster monouso su cui testare senza rischi. L'obiettivo è replicare il flusso completo: dall'interazione con l'API all'esecuzione di comandi dentro un container target.

Inizia dalla ricognizione. Se hai accesso al Docker socket, puoi enumerare i container attivi esattamente come farebbe un attaccante:

docker ps --format '{{.ID}} {{.Image}} {{.Names}} {{.Status}}'

Questo comando restituisce ID, immagine, nome e stato di ogni container in esecuzione. Il passo successivo è l'ispezione, alla ricerca di variabili d'ambiente che possano contenere credenziali cloud o token di servizio:

docker inspect --format '{{.Config.Env}}' <container_id>

Per eseguire comandi dentro un container già attivo, il vettore più diretto è docker exec. In un esercizio red team, una reverse shell minimale potrebbe apparire così:

docker exec -it <container_id> /bin/sh -c 'whoami && cat /proc/1/environ'

Sul versante Kubernetes, il pattern è analogo ma opera a livello di cluster. La ricognizione parte dall'enumerazione dei pod e dei namespace:

kubectl get pods --all-namespaces -o wide

kubectl get secrets --all-namespaces

L'esecuzione di comandi in un pod specifico avviene tramite:

kubectl exec -it <pod_name> -n -- /bin/sh

Un test particolarmente rilevante riguarda l'accesso diretto all'API server senza kubectl, simulando uno scenario in cui l'attaccante dispone solo di curl e di un service account token rubato:

curl -k -H "Authorization: Bearer " /api/v1/namespaces/default/pods

Per il pull di immagini contenenti tool offensivi — comportamento documentato nella tecnica — si può simulare lo scaricamento di un'immagine pubblica con utility integrate:

docker pull curlimages/curl && docker run --rm curlimages/curl curl

Sul piano degli SDK, un red teamer può scrivere poche righe Python con la libreria docker (open source) per interagire programmaticamente con il daemon. Questa modalità è più difficile da rilevare perché non genera log CLI tradizionali. Strumenti come kubeaudit (open source) e kube-hunter (open source) permettono di verificare sistematicamente le misconfigurazioni del cluster che abiliterebbero queste operazioni.

Ricorda di documentare ogni passo: un buon report di penetration test su container deve includere il livello di accesso iniziale (socket Docker esposto, RBAC permissivo, credenziali leaked) e la catena di comandi che ha portato all'esecuzione.

Il cuore della detection per questa tecnica risiede in una verità scomoda: i comandi malevoli sono sintatticamente identici a quelli legittimi. Non puoi bloccare docker exec o kubectl exec — sono operazioni quotidiane per i team DevOps. La differenza sta nel chi, nel da dove e nel quando.

Le log source critiche sono quattro: auditd (syscall), docker events, kubernetes audit log e AWS CloudTrail per ambienti cloud-managed. Il modello di detection fornito (DET0083) suggerisce di correlare l'esecuzione di comandi container con lo spawn di shell e l'attività di rete entro una finestra temporale di 2 minuti — un intervallo ragionevole che cattura la maggior parte delle catene d'attacco senza generare troppo rumore.

Il primo passo concreto è configurare il Kubernetes audit policy per loggare le richieste a livello RequestResponse sui verbi exec, create e get per le risorse pods/exec e secrets. Senza questa configurazione, l'API server non registra il dettaglio necessario.

Per Docker, abilita il logging degli eventi daemon:

docker events --filter 'type=container' --filter 'event=exec_start'

In ambiente di produzione, questo flusso va convogliato verso il SIEM. Falco (open source) è lo strumento di riferimento per la detection runtime nei container: intercetta le syscall a livello kernel e genera alert quando osserva comportamenti anomali come shell spawn in container, lettura di service account token o connessioni di rete inattese.

Il tuning è essenziale. Il modello di detection prevede tre parametri chiave da personalizzare:

• AuthorizedUserAgents: la whitelist degli strumenti CI/CD e degli agenti di gestione cluster autorizzati a invocare comandi via API o CLI. Senza questa lista, ogni deploy legittimo genera un falso positivo.
• NewImageThreshold: la soglia di alert per immagini container mai viste prima che vengono pullate ed eseguite. In ambienti con deploy frequenti va calibrata attentamente.
• InteractiveSessionExpectation: definisce se gli spawn di shell senza TTY/PTY debbano essere segnalati — dipende dal modello di deployment dell'organizzazione.

Un indicatore ad alta fedeltà è l'esecuzione di docker inspect o kubectl get secrets da parte di utenti o service account che normalmente non li invocano. Un altro è il pull di immagini da registry pubblici non autorizzati, seguito da esecuzione immediata. Tracee (open source) di Aqua Security è un'alternativa a Falco per il tracciamento eBPF delle syscall nei container, particolarmente efficace per catturare l'esfiltrazione di variabili d'ambiente.

L'analisi forense in ambienti containerizzati presenta una sfida strutturale: i container sono effimeri. Quando un container viene distrutto, il filesystem overlay scompare con esso. La prima regola è quindi preservare prima di tutto — se sospetti compromissione, esporta immediatamente lo stato del container:

docker export <container_id> > container_evidence.tar

docker logs <container_id> > container_logs.txt

Per i pod Kubernetes, cattura i log prima di qualsiasi operazione distruttiva:

kubectl logs <pod_name> -n --all-containers > pod_logs.txt

La ricostruzione della timeline parte dai Kubernetes audit log. Ogni chiamata all'API server viene registrata con timestamp, utente/service account, verbo, risorsa target e source IP. Cerca in particolare le operazioni exec, create su risorse pods e secrets, e le richieste list su namespace multipli — quest'ultimo pattern indica ricognizione.

Sul nodo host, auditd fornisce il layer complementare. Le syscall rilevanti sono execve (esecuzione di comandi), connect (connessioni di rete in uscita dal container) e open/openat (accesso a file sensibili come i token di service account montati in /var/run/secrets/kubernetes.io/serviceaccount/token). Se auditd è configurato con regole specifiche per il monitoraggio dei processi figli del daemon Docker, è possibile tracciare ogni comando eseguito via docker exec.

I docker events storici, se raccolti in un sistema centralizzato, permettono di ricostruire la sequenza di operazioni: pull di immagini, creazione di container, esecuzione di comandi, stop e rimozione. Il comando docker inspect sul container (se ancora esistente) rivela le variabili d'ambiente configurate, i mount point e la configurazione di rete — tutti elementi che aiutano a determinare cosa l'attaccante poteva vedere e raggiungere.

Per le immagini sospette, docker history mostra i layer dell'immagine e i comandi Dockerfile che li hanno generati. Skopeo (open source) permette di ispezionare immagini su registry remoti senza doverle pullare localmente, utile per analizzare immagini potenzialmente malevole in sicurezza. Un artefatto spesso trascurato è il file /var/lib/docker/containers//config.v2.json sull'host, che persiste anche dopo la rimozione del container e contiene metadati preziosi per la timeline.

Il panorama degli attori che abusano di CLI e API dei container è dominato da un gruppo che ha fatto delle infrastrutture cloud-native il proprio terreno di caccia esclusivo.

TeamTNT (G0139) rappresenta il caso di studio più emblematico per questa tecnica. Il gruppo ha costruito le proprie operazioni attorno allo sfruttamento sistematico di container Docker mal configurati, in particolare daemon Docker esposti su Internet senza autenticazione. Il modus operandi è lineare ed efficace: individuare socket Docker accessibili, utilizzare la CLI per deployare container malevoli contenenti cryptominer, e sfruttare le credenziali cloud trovate nelle variabili d'ambiente per espandersi lateralmente. TeamTNT non si limita all'esecuzione di comandi — sfrutta l'intera catena: pull di immagini custom, ispezione dei container esistenti per estrarre secret, deploy di nuovi container con configurazioni privilegiate.

Dal punto di vista geografico, le operazioni di TeamTNT si concentrano su infrastrutture cloud pubbliche senza particolari preferenze regionali — il targeting è opportunistico, basato sulla scansione di massa di API Docker e Kubernetes esposti. Questo pattern suggerisce che la motivazione primaria è finanziaria (cryptomining), ma l'accesso ottenuto potrebbe essere rivenduto o riutilizzato per campagne più sofisticate.

Il trend evolutivo è chiaro: gli attori stanno migrando dall'abuso di Docker standalone verso l'exploitation di cluster Kubernetes, dove l'impatto è ordini di grandezza superiore. Un singolo service account con permessi eccessivi in Kubernetes equivale al controllo potenziale di decine o centinaia di pod. La convergenza tra misconfigurazioni RBAC, API server esposti e secret management inadeguato crea una superficie d'attacco che attrae sia gruppi a motivazione finanziaria sia attori state-sponsored in cerca di risorse computazionali o posizionamento strategico.

Per il monitoraggio proattivo, le fonti più utili sono i feed di threat intelligence specifici per container — i report periodici pubblicati dai team di ricerca di Aqua Security, Sysdig e Palo Alto Unit 42 coprono regolarmente nuove campagne contro infrastrutture containerizzate. Monitorare i registry pubblici alla ricerca di immagini sospette riconducibili a pattern noti è un'attività che dovrebbe entrare nel playbook standard di ogni team CTI che opera in ambienti cloud-native.

Framework MITRE ATT&CK: tecnica T1059.013 (Container CLI/API), tattica TA0002, gruppo G0139, mitigazioni M1026 e M1038, detection DET0083/AN0233. Tool di detection: Falco, Tracee, Skopeo, kubeaudit, kube-hunter. Integrato con conoscenza professionale per tool e procedure operative.