Docker Forensics
Impara e pratica l'Hacking su AWS: HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)
Modifica del Contenitore
Ci sono sospetti che un certo contenitore Docker sia stato compromesso:
Puoi facilmente trovare le modifiche apportate a questo contenitore rispetto all'immagine con:
Nel comando precedente C significa Modificato e A, Aggiunto.
Se trovi che un file interessante come /etc/shadow
è stato modificato, puoi scaricarlo dal container per controllare attività malevole con:
Puoi anche confrontarlo con l'originale eseguendo un nuovo contenitore ed estraendo il file da esso:
Se trovi che è stato aggiunto un file sospetto, puoi accedere al container e controllarlo:
Modifiche alle immagini
Quando ti viene fornita un'immagine Docker esportata (probabilmente in formato .tar
) puoi utilizzare container-diff per estrarre un riepilogo delle modifiche:
Quindi, puoi decomprimere l'immagine e accedere ai blob per cercare file sospetti che potresti aver trovato nella cronologia delle modifiche:
Analisi di Base
Puoi ottenere informazioni di base dall'immagine in esecuzione:
Puoi ottenere un riassunto della cronologia delle modifiche con:
Puoi anche generare un dockerfile da un'immagine con:
Dive
Per trovare file aggiunti/modificati nelle immagini docker puoi utilizzare anche l'dive (scaricalo da releases) utility:
Questo ti permette di navigare tra i diversi blob delle immagini di Docker e controllare quali file sono stati modificati/aggiunti. Il colore rosso indica un'aggiunta e il colore giallo indica una modifica. Usa il tab per spostarti alla vista successiva e spazio per comprimere/aprire le cartelle.
Con die non sarai in grado di accedere ai contenuti delle diverse fasi dell'immagine. Per farlo dovrai decomprimere ogni layer e accedervi. Puoi decomprimere tutti i layer di un'immagine dalla directory in cui l'immagine è stata decompressa eseguendo:
Credenziali dalla memoria
Nota che quando esegui un container docker all'interno di un host puoi vedere i processi in esecuzione sul container dall'host semplicemente eseguendo ps -ef
Pertanto (come root) puoi scaricare la memoria dei processi dall'host e cercare credenziali proprio come nell'esempio seguente.
Last updated