Docker Forensics
Modifica del contenitore
Ci sono sospetti che un qualche contenitore Docker sia stato compromesso:
È possibile trovare facilmente le modifiche apportate a questo contenitore rispetto all'immagine con:
Nel comando precedente, C significa Modificato e A, Aggiunto.
Se scopri che un file interessante come /etc/shadow
è stato modificato, puoi scaricarlo dal container per verificare la presenza di attività malevole con:
Puoi anche confrontarlo con l'originale eseguendo un nuovo container ed estraendo il file da esso:
Se trovi che è stato aggiunto un file sospetto, puoi accedere al container e controllarlo:
Modifiche alle immagini
Quando ti viene fornita un'immagine Docker esportata (probabilmente in formato .tar
), puoi utilizzare container-diff per estrarre un riepilogo delle modifiche:
Quindi, puoi decomprimere l'immagine e accedere ai blob per cercare file sospetti che potresti aver trovato nella cronologia delle modifiche:
Analisi di base
Puoi ottenere informazioni di base dall'immagine in esecuzione:
Puoi ottenere un riassunto della cronologia delle modifiche con:
È possibile generare un dockerfile da un'immagine anche con:
Dive
Per trovare file aggiunti/modificati nelle immagini Docker, puoi utilizzare anche l'utilità dive (scaricala da releases):
Questo ti permette di navigare attraverso i diversi blob delle immagini di Docker e controllare quali file sono stati modificati/aggiunti. Il colore rosso indica un file aggiunto e il colore giallo indica un file modificato. Usa il tasto tab per spostarti alla vista successiva e spazio per comprimere/aprire le cartelle.
Con die non sarai in grado di accedere al contenuto delle diverse fasi dell'immagine. Per farlo, dovrai decomprimere ogni livello e accedervi. Puoi decomprimere tutti i livelli di un'immagine dalla directory in cui l'immagine è stata decompressa eseguendo:
Credenziali dalla memoria
Nota che quando esegui un container Docker all'interno di un host puoi vedere i processi in esecuzione nel container dall'host semplicemente eseguendo ps -ef
Pertanto (come root) puoi dumpare la memoria dei processi dall'host e cercare credenziali proprio come nell'esempio seguente.
Last updated