Docker Forensics
Modifikacija kontejnera
Postoje sumnje da je neki docker kontejner kompromitovan:
Možete lako pronaći modifikacije urađene na ovom kontejneru u vezi sa slikom sa:
U prethodnoj komandi C znači Promenjeno a A, Dodato.
Ako primetite da je neka zanimljiva datoteka poput /etc/shadow
izmenjena, možete je preuzeti iz kontejnera radi provere zlonamernih aktivnosti sa:
Možete uporediti sa originalnim pokretanjem novog kontejnera i izvlačenjem fajla iz njega:
Ako otkrijete da je dodat sumnjiv fajl možete pristupiti kontejneru i proveriti ga:
Modifikacije slika
Kada vam je dat izvezen Docker image (verovatno u .tar
formatu) možete koristiti container-diff da izvučete sažetak modifikacija:
Zatim možete dekompresovati sliku i pristupiti blobovima kako biste pretražili sumnjive datoteke koje ste možda pronašli u istoriji promena:
Osnovna analiza
Možete dobiti osnovne informacije o pokrenutoj slici:
Takođe možete dobiti sažetak istorije promena sa:
Takođe možete generisati dockerfile iz slike sa:
Uronite
Da biste pronašli dodate/izmenjene datoteke u Docker slikama, možete koristiti i dive (preuzmite ga sa izdanja) alat:
Ovo vam omogućava da navigirate kroz različite blobove docker slika i proverite koje datoteke su izmenjene/dodate. Crvena označava dodate, a žuta izmenjene datoteke. Koristite tab za prelazak na drugi prikaz i razmak za skupljanje/otvaranje foldera.
Pomoću ovoga nećete moći pristupiti sadržaju različitih faza slike. Da biste to uradili, moraćete dekompresovati svaki sloj i pristupiti mu. Možete dekompresovati sve slojeve slike iz direktorijuma gde je slika dekompresovana izvršavanjem:
Kredencijali iz memorije
Imajte na umu da kada pokrenete docker kontejner unutar domaćina možete videti procese koji se izvršavaju na kontejneru sa domaćina jednostavno pokretanjem ps -ef
Stoga (kao root) možete izbaciti memoriju procesa sa domaćina i pretraživati kredencijale baš kao u sledećem primeru.
Last updated