Descripción de la Tecnica
Container Orchestration Job es una técnica del MITRE ATT&CK (T1053.007) que describe cómo actores maliciosos abusan de la funcionalidad de planificación de tareas en herramientas de orchestración de contenedores, como Kubernetes, para ejecutar código malicioso. Esta técnica aprovecha mecanismos similares a los crontab en sistemas Linux, permitiendo a los atacantes programar la depósito automática de contenedores configurados para realizar actividades dañinas.
Como Funciona
La técnica utiliza CronJob en Kubernetes para automatizar tareas específicas en una fecha y hora definidas. Los atacantes pueden configurar estos jobs para mantener un número determinado de contenedores en ejecución, lo que permite la persistencia dentro del clúster. Este enfoque es especialmente peligroso porque se integra con el funcionamiento normal de la orchestración de contenedores, dificultando su detección.
Actores que la Utilizan
No hay datos públicos sobre actores específicos asociados a esta técnica. La descripción MITRE no identifica organizaciones o grupos conocidos que la utilicen en escenarios reales.
Detección
La detección requiere monitorear configuraciones de CronJob en clusters Kubernetes para detectar tareas con comportamientos anómalos, como:
- Uso de imágenes no autorizadas o maliciosas.
- Ejecución de comandos inusuales dentro de contenedores.
- Creación de jobs con vida útil prolongada o persistencia automática.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Las medidas de mitigación incluyen:
- Auditoría regular: Verificar configuraciones de
CronJoby permisos de usuarios en clusters Kubernetes. - Control de acceso: Limitar el uso de roles con privilegios elevados para evitar modificaciones no autorizadas.
- Monitoreo en tiempo real: Implementar sistemas de detección basados en comportamiento para identificar tareas anómalas.