Sysdig

SCSK株式会社

ブログ

HOME Developer Square ブログ クラウドネイティブ環境でFalcoを使って隠れた悪意のあるプロセスを明らかにする

クラウドネイティブ環境でFalcoを使って隠れた悪意のあるプロセスを明らかにする

クラウドネイティブ環境では、適切なツールなしでは悪意あるプロセスの検出が難しくなります。
Sysdigの元チーフアーキテクトによって作成されたlibprocesshiderは、Linuxのライブラリプリロード技術を悪用してプロセスを隠すオープンソースツールです。
これにより、psやtopなどのツールは、プロセスを検出できなくなります。
この記事では、このプロセス隠し技術がコンテナやKubernetesクラスターにどのように適用されるか、またFalcoがこれをどのように検知し対処するかについて説明します。
攻撃者がこの方法でプロセスを隠すと、通常の監視ツールでは見つけることができなくなりますが、Falcoなどのツールを使用することで、これらの攻撃を検出し対処することが可能です。

詳細はこちら
ページトップへ