Douglas Posted December 20, 2017 at 11:54 AM Share Posted December 20, 2017 at 11:54 AM Senhores, Alguém aqui já testou utilizar um sistema de containers (docker) para análise de malwares ao invés de VMs convencionais? Pela leitura que tive (não tenho o conhecimento prático) um container não faz uma isolamento tão eficiente entre a máquina host e a virtual, o que não seria uma boa opção para analisar artefatos maliciosos, contudo a agilidade de criar máquinas novas em poucos segundos é algo que chama muito a atenção. Alguém tem experiência que possa compartilhar? Abraço. Link to comment Share on other sites More sharing options...
Pimptech Posted December 20, 2017 at 10:29 PM Share Posted December 20, 2017 at 10:29 PM Falai, @Douglas.. Bele ? Cara também não sei muito sobre o tema, o que eu li sobre foi que os analistas não colocam toda a confiança no sistema de isolamento do Docker. O ponto chave, pelo o que eu entendi, é a facilidade de juntar as ferramentas em uma imagem e rodá-las para analisar algum artefato. Parece que ele funciona melhor em linux por causa do conceito com o qual o Kernel do Linux foi desenvolvido. Em Windows aparentemente funciona da mesma forma. Docker isola algumas camadas no OS, mas pelo que eu vi ele compartilha a camada de Kernel entre as imagens e o HOST (o que não seria uma análise confiável). https://remnux.org/docs/containers/malware-analysis/ Se quiser análise automatizada eu indico que você dê uma olhada no Cuckoo Sandbox. Essa ferramenta roda no "host" e automatiza a análise dentro de um ambiente virtualizado. https://www.cuckoosandbox.org/ Abraço! Link to comment Share on other sites More sharing options...
Supporter - Nibble anderson_leite Posted December 23, 2017 at 11:36 PM Supporter - Nibble Share Posted December 23, 2017 at 11:36 PM Talvez o docker seja interessante para analise de malware ja conhecidos e analisados, pois você ja vai saber que ele não vai carregar nenhum tipo de exploit que possa sair do container para o host, o container compartilha o kernel do host, logo pastas como /proc ( e se não me engano /sys, /dev ), ficam inclusas no container porem somente com permissão de leitura, mas vale lembrar que essas permissões volta e meia são burladas ( lembrar do dirtycow ). Para malwares que acabaram de sair do forno ou algum que tu recebeu por email ( sendo um elf no caso ), fortemente recomendo uma vm para mais segurança! vlw Link to comment Share on other sites More sharing options...
cpuodzius Posted December 10, 2018 at 10:23 PM Share Posted December 10, 2018 at 10:23 PM Se o host for dedicado a analise de malware, não vejo a utilização de dockers como uma má ideia. Além disso, essa não é a única maneira de utilizar docker durante sua análise.. você pode montar uma infra (e.g. servidor DNS, proxy, etc) que podem registrar coisas para você durante sua análise. Ou então, algo bem legal seria encapsular sua sandbox dentro de um container (e.g. docker-cuckoo, mas não testei esse projeto ainda ?). Uma aparente limitação, que talvez alguém possa me esclarecer, é se é possível usar Docker no Windows para rodar um ambiente de usuário (i.e. Windows 7/8/10 e não um Windows Server da vida) que poderia ser acessado via RDP, por exemplo, para fazer análise. Imagine uma imagem docker dessa com FlareVM que mão na roda não seria... Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.