Docker Forensics

Modificación de Contenedores

Existen sospechas de que algún contenedor de Docker fue comprometido:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

Puedes encontrar fácilmente las modificaciones realizadas en este contenedor con respecto a la imagen con:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

En el comando anterior C significa Cambiado y A, Añadido. Si descubres que algún archivo interesante como /etc/shadow fue modificado, puedes descargarlo del contenedor para verificar la actividad maliciosa con:

docker cp wordpress:/etc/shadow.

También puedes compararlo con el original ejecutando un nuevo contenedor y extrayendo el archivo de él:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

Si encuentras que se agregó algún archivo sospechoso puedes acceder al contenedor y verificarlo:

docker exec -it wordpress bash

Modificaciones de imágenes

Cuando se te proporciona una imagen de Docker exportada (probablemente en formato .tar) puedes usar container-diff para extraer un resumen de las modificaciones:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

Entonces, puedes descomprimir la imagen y acceder a los blobs para buscar archivos sospechosos que hayas encontrado en el historial de cambios:

tar -xf image.tar

Análisis Básico

Puedes obtener información básica de la imagen en ejecución:

docker inspect <image>

También puedes obtener un resumen historial de cambios con:

docker history --no-trunc <image>

También puedes generar un dockerfile a partir de una imagen con:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Buceo

Para encontrar archivos añadidos/modificados en imágenes de docker también puedes usar la utilidad dive (descárgala desde releases):

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

Esto te permite navegar a través de los diferentes bloques de imágenes de Docker y verificar qué archivos fueron modificados/agregados. Rojo significa agregado y amarillo significa modificado. Usa tabulador para moverte a la otra vista y espacio para colapsar/abrir carpetas.

Con die no podrás acceder al contenido de las diferentes etapas de la imagen. Para hacerlo, necesitarás descomprimir cada capa y acceder a ella. Puedes descomprimir todas las capas de una imagen desde el directorio donde se descomprimió la imagen ejecutando:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

Credenciales de la memoria

Tenga en cuenta que al ejecutar un contenedor de Docker dentro de un host puede ver los procesos en ejecución en el contenedor desde el host simplemente ejecutando ps -ef

Por lo tanto (como root) puede volcar la memoria de los procesos desde el host y buscar credenciales tal y como se muestra en el siguiente ejemplo.