hacktricks/forensics/basic-forensic-methodology/docker-forensics.md

Docker Forensics

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
• Adquira o material oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção de NFTs exclusivos
• Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.

Modificação de Container

Há suspeitas de que algum container docker foi comprometido:

docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc03e43a052a        lamp-wordpress      "./run.sh"          2 minutes ago       Up 2 minutes        80/tcp              wordpress

Você pode facilmente encontrar as modificações feitas neste container em relação à imagem com:

docker diff wordpress
C /var
C /var/lib
C /var/lib/mysql
A /var/lib/mysql/ib_logfile0
A /var/lib/mysql/ib_logfile1
A /var/lib/mysql/ibdata1
A /var/lib/mysql/mysql
A /var/lib/mysql/mysql/time_zone_leap_second.MYI
A /var/lib/mysql/mysql/general_log.CSV
...

No comando anterior, C significa Changed (Modificado) e A, Added (Adicionado).
Se você descobrir que algum arquivo interessante como /etc/shadow foi modificado, você pode baixá-lo do container para verificar atividades maliciosas com:

docker cp wordpress:/etc/shadow.

Você também pode compará-lo com o original executando um novo container e extraindo o arquivo dele:

docker run -d lamp-wordpress
docker cp b5d53e8b468e:/etc/shadow original_shadow #Get the file from the newly created container
diff original_shadow shadow

Se você descobrir que algum arquivo suspeito foi adicionado, você pode acessar o container e verificar:

docker exec -it wordpress bash

Modificações em Imagens

Quando você recebe uma imagem docker exportada (provavelmente no formato .tar) você pode usar container-diff para extrair um resumo das modificações:

docker save <image> > image.tar #Export the image to a .tar file
container-diff analyze -t sizelayer image.tar
container-diff analyze -t history image.tar
container-diff analyze -t metadata image.tar

Então, você pode descomprimir a imagem e acessar os blobs para procurar por arquivos suspeitos que você pode ter encontrado no histórico de alterações:

tar -xf image.tar

Análise Básica

Você pode obter informações básicas da imagem executando:

docker inspect <image>

Você também pode obter um resumo do histórico de alterações com:

docker history --no-trunc <image>

Você também pode gerar um dockerfile a partir de uma imagem com:

alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 madhuakula/k8s-goat-hidden-in-layers>

Dive

Para encontrar arquivos adicionados/modificados em imagens docker, você também pode usar a ferramenta dive (baixe-a a partir dos releases):

#First you need to load the image in your docker repo
sudo docker load < image.tar                                                                                                                                                                                                         1 ⨯
Loaded image: flask:latest

#And then open it with dive:
sudo dive flask:latest

Isso permite que você navegue pelos diferentes blobs das imagens docker e verifique quais arquivos foram modificados/adicionados. Vermelho significa adicionado e amarelo significa modificado. Use tab para mover para a outra visualização e espaço para expandir/colapsar pastas.

Com o die você não será capaz de acessar o conteúdo dos diferentes estágios da imagem. Para fazer isso, você precisará descomprimir cada camada e acessá-la.
Você pode descomprimir todas as camadas de uma imagem a partir do diretório onde a imagem foi descomprimida executando:

tar -xf image.tar
for d in `find * -maxdepth 0 -type d`; do cd $d; tar -xf ./layer.tar; cd ..; done

Credenciais da memória

Note que quando você executa um container docker dentro de um host você pode ver os processos em execução no container a partir do host apenas executando ps -ef

Portanto (como root) você pode despejar a memória dos processos do host e procurar por credenciais como no seguinte exemplo.

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
• Adquira o material oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção de NFTs exclusivos
• Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para os repositórios github HackTricks e HackTricks Cloud.