Docker Forensics
Modificação do Contêiner
Há suspeitas de que algum contêiner do Docker foi comprometido:
Você pode facilmente encontrar as modificações feitas neste contêiner em relação à imagem com:
No comando anterior, C significa Alterado e A, Adicionado.
Se você descobrir que algum arquivo interessante como /etc/shadow
foi modificado, você pode baixá-lo do contêiner para verificar atividades maliciosas com:
Você também pode compará-lo com o original executando um novo contêiner e extraindo o arquivo dele:
Se você encontrar que algum arquivo suspeito foi adicionado você pode acessar o contêiner e verificá-lo:
Modificações em imagens
Quando você recebe uma imagem docker exportada (provavelmente no formato .tar
), você pode usar container-diff para extrair um resumo das modificações:
Em seguida, você pode descompactar a imagem e acessar os blobs para procurar por arquivos suspeitos que você pode ter encontrado no histórico de alterações:
Análise Básica
Você pode obter informações básicas da imagem em execução:
Você também pode obter um resumo histórico de alterações com:
Você também pode gerar um dockerfile a partir de uma imagem com:
Dive
Para encontrar arquivos adicionados/modificados em imagens docker, você também pode usar a dive (baixe-a em releases) utilitário:
Isso permite que você navegue pelos diferentes blobs das imagens do Docker e verifique quais arquivos foram modificados/adicionados. Vermelho significa adicionado e amarelo significa modificado. Use tab para mover para a outra visualização e espaço para colapsar/abrir pastas.
Com o die
você não poderá acessar o conteúdo das diferentes etapas da imagem. Para fazer isso, você precisará descompactar cada camada e acessá-la.
Você pode descompactar todas as camadas de uma imagem a partir do diretório onde a imagem foi descompactada executando:
Credenciais da memória
Observe que ao executar um contêiner docker dentro de um host você pode ver os processos em execução no contêiner a partir do host apenas executando ps -ef
Portanto (como root) você pode despejar a memória dos processos do host e procurar por credenciais assim como no exemplo a seguir.
Last updated