MKS - Ferramenta Red Team para Kubernetes

[ghesser]

Objetivo: Simular atividades maliciosas avançadas dentro de clusters Kubernetes para avaliar resiliência, detecção e resposta da equipe de segurança.

1. Infiltração & Deploy Inicial

Deploy furtivo via CRDs ou sidecars maliciosos

Uso de workloads camufladas: imagens com nome similar a serviços legítimos (nginx-secure, monitoring-exporter)

Exploração de RBAC fraco: deploy usando ServiceAccounts com permissões excessivas

Kube API abuse: autenticação com tokens vazados ou montagem de service account toke

[GustavoEsser]

Persistência

• Deploy de DaemonSet persistente malicioso
• Job/CronJob que se reativa periodicamente
• Modificação de ConfigMaps ou Secrets para persistência de payloads
• Uso de initContainers em serviços legítimos para reexecução do código malicioso
• Bind mount para /var/run/secrets/kubernetes.io para capturar tokens

[ghesser]

Reconhecimento Interno

• Enumeração de nodes, pods, secrets e RBAC
• Mapeamento de namespaces e workloads
• Descoberta de serviços internos com DNS interno (svc.cluster.local)
• Busca por volumes com dados sensíveis montados (como PVCs com backups ou credenciais)