因为 CronJob 的设计和 Linux CronTab 过于相似,所以很多人都会把其引申为在 Kubernetes 集群攻击的一些持久化思路。

官方文档

https://Kubernetes.io/docs/concepts/workloads/controllers/cron-jobs/ 里也谈及了 CronJob 和 CronTab 的对比, 这个技术也确实可以和 CronTab 一样一定程度上可以满足持久化的场景。

这里有一个我们预研时使用的 CronJob 配置:

图片

图片

此处的配置会隔每分钟创建一个具有生命周期的 POD,同时这些容器也可以使用特权容器(如上述配置)、挂载大目录等设置,此时持久化创建的 POD 就可以拥有特权和访问宿主机根目录文件的权限。

不过实际对抗过程中,虽然我们也会对恶意的 POD 和容器做一定的持久化,但是直接使用 CronJob 的概率却不高。在创建后门 POD 的时候,直接使用 restartPolicy: Always 就可以方便优雅的进行后门进程的重启和维持,所以对 CronJob 的需求反而没那么高。

图片

最后编辑: kuteng  文档更新时间: 2022-06-01 16:25   作者:kuteng