容器内隐蔽探测(In-container Stealth Probing)指攻击者在已控容器内部署轻量级探测工具,通过容器间通信网络实施资源发现的隐匿技术。该方法利用容器默认网络策略的宽松性,通过Service Mesh边车代理或Overlay网络隧道,将etcd存储查询、节点信息采集等敏感操作封装为服务网格内部通信流量,绕过基于主机层监控的安全检测机制。
该技术的隐匿性体现在网络拓扑隔离与协议仿冒两个维度。攻击者首先通过容器逃逸获取目标Pod的控制权,随后部署定制化探测程序(如伪装成Prometheus Exporter的扫描器),利用Istio等Service Mesh架构的mTLS加密特性,将资源发现请求伪装成服务间健康检查流量。探测结果通过容器标准输出(stdout)混合在应用日志中回传,或利用DNS隧道在响应报文载荷中渗出数据。由于容器网络流量通常被视为可信内部通信,传统基于网络流量分析的检测系统难以识别此类隐蔽通道。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon