Docker Forensics
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Profundiza tu experiencia en Mobile Security con 8kSec Academy. Domina la seguridad de iOS y Android a través de nuestros cursos a tu propio ritmo y obtén certificación:
Hay sospechas de que algún contenedor de docker fue comprometido:
Puedes fácilmente encontrar las modificaciones realizadas a este contenedor con respecto a la imagen con:
En el comando anterior, C significa Cambiado y A significa Añadido.
Si encuentras que algún archivo interesante como /etc/shadow
fue modificado, puedes descargarlo del contenedor para verificar actividad maliciosa con:
También puedes compararlo con el original ejecutando un nuevo contenedor y extrayendo el archivo de él:
Si encuentras que se añadió algún archivo sospechoso puedes acceder al contenedor y revisarlo:
Cuando se te proporciona una imagen de docker exportada (probablemente en formato .tar
), puedes usar container-diff para extraer un resumen de las modificaciones:
Luego, puedes descomprimir la imagen y acceder a los blobs para buscar archivos sospechosos que puedas haber encontrado en el historial de cambios:
Puedes obtener información básica de la imagen ejecutando:
También puedes obtener un resumen historia de cambios con:
Puedes también generar un dockerfile a partir de una imagen con:
Para encontrar archivos añadidos/modificados en imágenes de docker, también puedes usar la dive (descárgalo de releases) utilidad:
Esto te permite navegar a través de los diferentes blobs de imágenes de docker y verificar qué archivos fueron modificados/agregados. Rojo significa agregado y amarillo significa modificado. Usa tab para moverte a la otra vista y space para colapsar/abrir carpetas.
Con die no podrás acceder al contenido de las diferentes etapas de la imagen. Para hacerlo, necesitarás descomprimir cada capa y acceder a ella. Puedes descomprimir todas las capas de una imagen desde el directorio donde se descomprimió la imagen ejecutando:
Ten en cuenta que cuando ejecutas un contenedor de docker dentro de un host puedes ver los procesos que se ejecutan en el contenedor desde el host simplemente ejecutando ps -ef
Por lo tanto (como root) puedes volcar la memoria de los procesos desde el host y buscar credenciales justo como en el siguiente ejemplo.
Profundiza tu experiencia en Seguridad Móvil con 8kSec Academy. Domina la seguridad de iOS y Android a través de nuestros cursos autoguiados y obtén certificación:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)