API请求伪装(API Request Camouflage)是通过模拟合法管理流量实施容器资源探测的隐蔽技术。攻击者通过劫持具有只读权限的服务账户凭证,将/api/v1/nodes或/apis/apps/v1/deployments等Kubernetes API调用嵌入正常的集群管理流量中,使资源枚举请求与运维操作在协议特征层面无法区分。该技术充分利用云原生环境中API通信的密集性与多样性,通过时序分布伪装和参数标准化处理规避基于API调用序列的异常检测。
匿迹机制的核心在于构建协议层与行为层的双重合法性。在协议层面,严格遵循Kubernetes API的认证流程(如Bearer Token鉴权)和请求格式(包括User-Agent头伪装),使恶意请求在TLS加密通道中与合法流量具有相同的密码学特征。在行为层面,采用"低慢速"探测策略,将资源发现任务拆解为多个间隔随机的合法API调用序列,例如在查询Pod列表后间隔数小时再获取节点状态信息。同时,攻击者会主动解析集群自动伸缩组的元数据,动态调整请求参数以匹配当前业务负载特征,使得异常检测引擎难以建立有效的基线模型。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon