Docker Forensics
Τροποποίηση εμπορεύματος
Υπάρχουν υποψίες ότι ένα κάποιο docker container έχει παραβιαστεί:
Μπορείτε εύκολα να βρείτε τις τροποποιήσεις που έχουν γίνει σε αυτό το container σχετικά με την εικόνα με:
Στην προηγούμενη εντολή, το C σημαίνει Αλλαγή και το A, Προσθήκη.
Εάν ανακαλύψετε ότι ένα ενδιαφέρον αρχείο όπως το /etc/shadow
έχει τροποποιηθεί, μπορείτε να το κατεβάσετε από τον εκτελέσιμο χώρο για να ελέγξετε για κακόβουλη δραστηριότητα με:
Μπορείτε επίσης να το συγκρίνετε με το αρχικό εκτελώντας ένα νέο container και εξάγοντας το αρχείο από αυτό:
Εάν ανακαλύψετε ότι προστέθηκε ένα ύποπτο αρχείο, μπορείτε να αποκτήσετε πρόσβαση στον εκτελέσιμο και να το ελέγξετε:
Τροποποιήσεις εικόνας
Όταν σας δίνεται μια εξαγόμενη εικόνα docker (πιθανώς σε μορφή .tar
), μπορείτε να χρησιμοποιήσετε το container-diff για να εξάγετε ένα σύνοψη των τροποποιήσεων:
Στη συνέχεια, μπορείτε να αποσυμπιέσετε την εικόνα και να έχετε πρόσβαση στα blobs για να αναζητήσετε ύποπτα αρχεία που μπορεί να έχετε βρει στο ιστορικό αλλαγών:
Βασική Ανάλυση
Μπορείτε να αποκτήσετε βασικές πληροφορίες από την εικόνα που εκτελείται:
Μπορείτε επίσης να λάβετε ένα σύνοψη ιστορικού αλλαγών με:
Μπορείτε επίσης να δημιουργήσετε ένα dockerfile από ένα εικόνα με την εντολή:
Dive
Για να βρείτε προστιθέμενα/τροποποιημένα αρχεία σε εικόνες docker, μπορείτε επίσης να χρησιμοποιήσετε το dive (κατεβάστε το από απελευθερώσεις) εργαλείο:
Αυτό σας επιτρέπει να περιηγηθείτε στα διάφορα blobs των εικόνων του Docker και να ελέγξετε ποια αρχεία τροποποιήθηκαν/προστέθηκαν. Το κόκκινο σημαίνει προσθήκη και το κίτρινο σημαίνει τροποποίηση. Χρησιμοποιήστε το tab για να μετακινηθείτε στην άλλη προβολή και το space για να αναδιπλώσετε/ανοίξετε φακέλους.
Με το die δεν θα μπορείτε να έχετε πρόσβαση στο περιεχόμενο των διαφορετικών σταδίων της εικόνας. Για να το κάνετε αυτό, θα πρέπει να αποσυμπιέσετε κάθε επίπεδο και να έχετε πρόσβαση σε αυτό. Μπορείτε να αποσυμπιέσετε όλα τα επίπεδα μιας εικόνας από τον κατάλογο όπου αποσυμπιέστηκε η εικόνα εκτελώντας:
Διαπιστευτήρια από τη μνήμη
Σημειώστε ότι όταν εκτελείτε ένα δοχείο docker μέσα σε έναν κεντρικό υπολογιστή, μπορείτε να δείτε τις διεργασίες που εκτελούνται στο δοχείο από τον κεντρικό υπολογιστή απλά εκτελώντας την εντολή ps -ef
Για τον λόγο αυτό (ως root) μπορείτε να αντιγράψετε τη μνήμη των διεργασιών από τον κεντρικό υπολογιστή και να αναζητήσετε διαπιστευτήρια ακριβώς όπως στο παρακάτω παράδειγμα.
Last updated