Ajouter à une liste de lectureAvec l’usage de plus en plus massif des conteneurs et de Kubernetes pour l’hébergement des applications métiers, les infrastructures basées sur Kubernetes sont de plus en plus des cibles de choix pour les attaquants. Il convient d’apprendre à détecter et investiguer ces attaques en tenant compte des spécificités de ces plateformes
Il est 4 heures du matin, le téléphone d’astreinte sonne. Une application métier critique est sous les feux d’une attaque. Les premières investigations montrent que cette application est hébergée sur un cluster Kubernetes (K8s). Investiguons sur ce qu’il se passe !
1. Une équipe Blue Team préparée
Comme dans toute bonne équipe Blue Team, les analystes sécurité se sont préparés et ont prépositionnés leurs outils en suivant les deux précédents articles [forensic1] et [forensic2].
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[forensic1] J.F. BETTE, « Forensique en environnement conteneur », MISC n°120, mars-avril 2022 :
https://connect.ed-diamond.com/misc/misc-120/forensique-en-environnement-conteneur
[forensic2] J.F. BETTE, « Investiguons dans Kubernetes », MISC n°122, juillet-août 2022 :
https://connect.ed-diamond.com/misc/misc-122/investiguons-dans-kubernetes
[CRIU] https://criu.org/
[Falco] https://falco.org/
[falcosidekick] https://github.com/falcosecurity/falcosidekick
[sysdig-inspect] https://github.com/draios/sysdig-inspect
[sysdig] https://github.com/draios/sysdig
[checkpoint] https://kubernetes.io/blog/2022/12/05/forensic-container-checkpointing-alpha/
[imageCRIU] https://criu.org/Images
[apt] https://attack.mitre.org/groups/G0139/
[Hildegard] https://unit42.paloaltonetworks.com/hildegard-malware-teamtnt/
[kubeletatk] https://sysdig.com/blog/teamtnt-kubelet-credentials/
[LaZagne] https://github.com/AlessandroZ/LaZagne
Par le(s) même(s) auteur(s)
Sécuriser votre Cloud avec l’Infrastructure as code
Explosion du périmètre de sécurité avec le Cloud public, DevOps, hyper-agilité des infrastructures… Qui est maintenant à même de contrôler à l’échelle le niveau de sécurité de ses infrastructures ? Explorons ensemble comment l’Infrastructure as Code (IaC) peut nous aider à y voir plus clair et gérer tout cela.
Dépilons les couches de CVE
Pierre angulaire d’une posture de sécurité réussie, la gestion du patch management avec la phase de l’évaluation de l’exposition aux vulnérabilités est un exercice potentiellement complexe. Voyons quels sont les moyens qui sont à notre disposition et comment un nouveau format de description nous aide dans cette tâche.
Investiguons dans Kubernetes
Les clusters Kubernetes sont des systèmes relativement complexes et volatiles où il est facile de se cacher. Voyons ensemble comment à partir de méthodes de live-forensic nous pouvons débusquer l’intrus.
Forensique en environnement conteneur
Dynamisme des applications, changement technologique, environnement cloud, l’analyse forensique des environnements conteneurisés pose de véritables challenges. Bien que ne changeant pas fondamentalement la discipline de l’analyse forensique, les conteneurs ainsi que leur orchestration imposent des changements de paradigme et d’outillage.