Docker Forensics
Container-Modifikation
Es besteht der Verdacht, dass ein bestimmter Docker-Container kompromittiert wurde:
Sie können die Änderungen, die an diesem Container im Vergleich zum Image vorgenommen wurden, leicht mit folgendem Befehl finden:
Im vorherigen Befehl bedeutet C "Geändert" und A "Hinzugefügt".
Wenn Sie feststellen, dass eine interessante Datei wie /etc/shadow
geändert wurde, können Sie sie aus dem Container herunterladen, um nach bösartigen Aktivitäten zu suchen:
Sie können es auch mit dem Original vergleichen, indem Sie einen neuen Container ausführen und die Datei daraus extrahieren:
Wenn Sie feststellen, dass eine verdächtige Datei hinzugefügt wurde, können Sie auf den Container zugreifen und sie überprüfen:
Bildmodifikationen
Wenn Ihnen ein exportiertes Docker-Image (wahrscheinlich im .tar
-Format) zur Verfügung gestellt wird, können Sie container-diff verwenden, um eine Zusammenfassung der Modifikationen zu extrahieren:
Dann können Sie das Bild dekomprimieren und auf die Blobs zugreifen, um nach verdächtigen Dateien zu suchen, die Sie möglicherweise in der Änderungshistorie gefunden haben:
Grundlegende Analyse
Sie können grundlegende Informationen aus dem ausgeführten Image erhalten:
Sie können auch eine Zusammenfassung der Änderungshistorie mit folgendem Befehl erhalten:
Sie können auch ein Dockerfile aus einem Image generieren mit:
Dive
Um hinzugefügte/geänderte Dateien in Docker-Images zu finden, können Sie auch das dive (laden Sie es von releases herunter) Dienstprogramm verwenden:
Dies ermöglicht es Ihnen, durch die verschiedenen Blöcke von Docker-Images zu navigieren und zu überprüfen, welche Dateien geändert/hinzugefügt wurden. Rot bedeutet hinzugefügt und gelb bedeutet geändert. Verwenden Sie Tab, um zur anderen Ansicht zu wechseln, und Leertaste, um Ordner zu öffnen/schließen.
Mit die
können Sie nicht auf den Inhalt der verschiedenen Stufen des Images zugreifen. Um dies zu tun, müssen Sie jede Schicht dekomprimieren und darauf zugreifen.
Sie können alle Schichten eines Images aus dem Verzeichnis, in dem das Image dekomprimiert wurde, dekomprimieren, indem Sie Folgendes ausführen:
Anmeldeinformationen aus dem Speicher
Beachten Sie, dass Sie, wenn Sie einen Docker-Container in einem Host ausführen, die auf dem Container ausgeführten Prozesse vom Host aus sehen können, indem Sie einfach ps -ef
ausführen.
Daher können Sie (als Root) den Speicher der Prozesse vom Host aus dumpen und nach Anmeldeinformationen suchen, genau wie im folgenden Beispiel.
Last updated