Docker Forensics

Mobil Güvenlik konusundaki uzmanlığınızı 8kSec Akademisi ile derinleştirin. Kendi hızınıza uygun kurslarımızla iOS ve Android güvenliğini öğrenin ve sertifika kazanın:

Konteyner değişikliği

Bazı docker konteynerlerinin tehlikeye girdiğine dair şüpheler var:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

Bu konteynerin görüntü ile ilgili yapılan değişikliklerini kolayca bulabilirsiniz:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

Önceki komutta C Değiştirildi ve A, Eklendi anlamına gelir. Eğer /etc/shadow gibi ilginç bir dosyanın değiştirildiğini bulursanız, kötü niyetli etkinlikleri kontrol etmek için dosyayı konteynerden indirmek için:

docker cp wordpress:/etc/shadow.

Orijinal olanla karşılaştırabilirsiniz yeni bir konteyner çalıştırarak ve ondan dosyayı çıkararak:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

Eğer şüpheli bir dosyanın eklendiğini bulursanız, konteynıra erişip kontrol edebilirsiniz:

docker exec -it wordpress bash

Görüntü değişiklikleri

Bir dışa aktarılmış docker görüntüsü (muhtemelen .tar formatında) verildiğinde, değişikliklerin bir özetini çıkarmak için container-diff kullanabilirsiniz:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

Sonra, görüntüyü açabilir ve şüpheli dosyaları değişiklik geçmişinde aramak için bloblara erişebilirsiniz:

tar -xf image.tar

Temel Analiz

Görüntüden temel bilgiler alabilirsiniz:

docker inspect <image>

Aşağıdaki komutla değişikliklerin geçmişi hakkında bir özet alabilirsiniz:

docker history --no-trunc <image>

Bir görüntüden dockerfile oluşturabilirsiniz:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Dive

Docker görüntülerinde eklenmiş/değiştirilmiş dosyaları bulmak için dive (bunu releases adresinden indirin) aracını da kullanabilirsiniz:

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

Bu, docker görüntülerinin farklı blob'ları arasında gezinmenizi ve hangi dosyaların değiştirildiğini/eklendiğini kontrol etmenizi sağlar. Kırmızı eklenmiş anlamına gelir ve sarı değiştirilmiş anlamına gelir. Tab tuşunu kullanarak diğer görünüme geçin ve boşluk tuşunu kullanarak klasörleri daraltın/açın.

Die ile görüntünün farklı aşamalarının içeriğine erişemeyeceksiniz. Bunu yapmak için her katmanı sıkıştırmanız ve erişmeniz gerekecek. Görüntü sıkıştırıldığında, görüntüden tüm katmanları sıkıştırmak için şu dizinden çalıştırabilirsiniz:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

Bellekten Kimlik Bilgileri

Bir docker konteynerini bir ana bilgisayar içinde çalıştırdığınızda ana bilgisayardan konteynerde çalışan süreçleri görebilirsiniz sadece ps -ef komutunu çalıştırarak.

Bu nedenle (root olarak) ana bilgisayardan süreçlerin belleğini dökebilir ve kimlik bilgilerini arayabilirsiniz aşağıdaki örnekteki gibi.

Mobil Güvenlik konusundaki uzmanlığınızı 8kSec Akademisi ile derinleştirin. Kendi hızınıza uygun kurslarımızla iOS ve Android güvenliğini öğrenin ve sertifika kazanın: