Docker Forensics
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprofunde sua experiência em Segurança Móvel com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autônomos e obtenha certificação:
Há suspeitas de que algum container docker foi comprometido:
Você pode facilmente encontrar as modificações feitas neste contêiner em relação à imagem com:
No comando anterior, C significa Changed e A significa Added.
Se você descobrir que algum arquivo interessante, como /etc/shadow
, foi modificado, você pode baixá-lo do contêiner para verificar atividades maliciosas com:
Você também pode compará-lo com o original executando um novo contêiner e extraindo o arquivo dele:
Se você descobrir que um arquivo suspeito foi adicionado, você pode acessar o contêiner e verificá-lo:
Quando você recebe uma imagem docker exportada (provavelmente no formato .tar
), você pode usar container-diff para extrair um resumo das modificações:
Então, você pode descompactar a imagem e acessar os blobs para procurar arquivos suspeitos que você pode ter encontrado no histórico de alterações:
Você pode obter informações básicas da imagem executando:
Você também pode obter um resumo histórico de mudanças com:
Você também pode gerar um dockerfile a partir de uma imagem com:
Para encontrar arquivos adicionados/modificados em imagens docker, você também pode usar o dive (baixe-o a partir das releases):
Isso permite que você navegue pelos diferentes blobs de imagens docker e verifique quais arquivos foram modificados/adicionados. Vermelho significa adicionado e amarelo significa modificado. Use tab para mover para a outra visualização e space para colapsar/abrir pastas.
Com die você não poderá acessar o conteúdo dos diferentes estágios da imagem. Para fazer isso, você precisará descomprimir cada camada e acessá-la. Você pode descomprimir todas as camadas de uma imagem a partir do diretório onde a imagem foi descomprimida executando:
Note que quando você executa um contêiner docker dentro de um host você pode ver os processos em execução no contêiner a partir do host apenas executando ps -ef
Portanto (como root) você pode extrair a memória dos processos a partir do host e procurar por credenciais apenas como no seguinte exemplo.
Aprofunde sua experiência em Segurança Móvel com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autônomos e obtenha certificação:
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)