Jump to content

Uso de Container (Docker) para análise de malware


Douglas

Recommended Posts

Senhores, 

Alguém aqui já testou utilizar um sistema de containers (docker) para análise de malwares ao invés de VMs convencionais?
Pela leitura que tive (não tenho o conhecimento prático) um container não faz uma isolamento tão eficiente entre a máquina host e a virtual, o que não seria uma boa opção para analisar artefatos maliciosos, contudo a agilidade de criar máquinas novas em poucos segundos é algo que chama muito a atenção.

Alguém tem experiência que possa compartilhar?

Abraço.

Link to comment
Share on other sites

Falai, @Douglas.. Bele ?

Cara também não sei muito sobre o tema, o que eu li sobre foi que os analistas não colocam toda a confiança no sistema de isolamento do Docker. O ponto chave, pelo o que eu entendi, é a facilidade de juntar as ferramentas em uma imagem e rodá-las para analisar algum artefato. Parece que ele funciona melhor em linux por causa do conceito com o qual o Kernel do Linux foi desenvolvido. Em Windows aparentemente funciona da mesma forma. Docker isola algumas camadas no OS, mas pelo que eu vi ele compartilha a camada de Kernel entre as imagens e o HOST (o que não seria uma análise confiável).

https://remnux.org/docs/containers/malware-analysis/

Se quiser análise automatizada eu indico que você dê uma olhada no Cuckoo Sandbox. Essa ferramenta roda no "host" e automatiza a análise dentro de um ambiente virtualizado.

https://www.cuckoosandbox.org/

Abraço!

Link to comment
Share on other sites

  • Supporter - Nibble

Talvez o docker seja interessante para analise de malware ja conhecidos e analisados, pois você ja vai saber que ele não vai carregar nenhum tipo de exploit que possa sair do container para o host, o container compartilha o kernel do host, logo pastas como /proc ( e se não me engano /sys, /dev ), ficam inclusas no container porem somente com permissão de leitura, mas vale lembrar que essas permissões volta e meia são burladas ( lembrar do dirtycow ).

Para malwares que acabaram de sair do forno ou algum que tu recebeu por email ( sendo um elf no caso ), fortemente recomendo uma vm para mais segurança! vlw

Link to comment
Share on other sites

  • 11 months later...

Se o host for dedicado a analise de malware, não vejo a utilização de dockers como uma má ideia.

Além disso, essa não é a única maneira de utilizar docker durante sua análise.. você pode montar uma infra (e.g. servidor DNS, proxy, etc) que podem registrar coisas para você durante sua análise. Ou então, algo bem legal seria encapsular sua sandbox dentro de um container (e.g. docker-cuckoo, mas não testei esse projeto ainda ?).

Uma aparente limitação, que talvez alguém possa me esclarecer, é se é possível usar Docker no Windows para rodar um ambiente de usuário (i.e. Windows 7/8/10 e não um Windows Server da vida) que poderia ser acessado via RDP, por exemplo, para fazer análise. Imagine uma imagem docker dessa com FlareVM que mão na roda não seria...

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...