2024年度クラウドネイティブセキュリティおよび利用状況レポート
クラウドネイティブ環境では、適切なツールなしでは悪意あるプロセスの検出が難しくなります。
Sysdigの元チーフアーキテクトによって作成されたlibprocesshiderは、Linuxのライブラリプリロード技術を悪用してプロセスを隠すオープンソースツールです。
これにより、psやtopなどのツールは、プロセスを検出できなくなります。
この記事では、このプロセス隠し技術がコンテナやKubernetesクラスターにどのように適用されるか、またFalcoがこれをどのように検知し対処するかについて説明します。
攻撃者がこの方法でプロセスを隠すと、通常の監視ツールでは見つけることができなくなりますが、Falcoなどのツールを使用することで、これらの攻撃を検出し対処することが可能です。
