Jump to content
Sign in to follow this  
Douglas

Uso de Container (Docker) para análise de malware

Recommended Posts

Senhores, 

Alguém aqui já testou utilizar um sistema de containers (docker) para análise de malwares ao invés de VMs convencionais?
Pela leitura que tive (não tenho o conhecimento prático) um container não faz uma isolamento tão eficiente entre a máquina host e a virtual, o que não seria uma boa opção para analisar artefatos maliciosos, contudo a agilidade de criar máquinas novas em poucos segundos é algo que chama muito a atenção.

Alguém tem experiência que possa compartilhar?

Abraço.

Share this post


Link to post
Share on other sites

Falai, @Douglas.. Bele ?

Cara também não sei muito sobre o tema, o que eu li sobre foi que os analistas não colocam toda a confiança no sistema de isolamento do Docker. O ponto chave, pelo o que eu entendi, é a facilidade de juntar as ferramentas em uma imagem e rodá-las para analisar algum artefato. Parece que ele funciona melhor em linux por causa do conceito com o qual o Kernel do Linux foi desenvolvido. Em Windows aparentemente funciona da mesma forma. Docker isola algumas camadas no OS, mas pelo que eu vi ele compartilha a camada de Kernel entre as imagens e o HOST (o que não seria uma análise confiável).

https://remnux.org/docs/containers/malware-analysis/

Se quiser análise automatizada eu indico que você dê uma olhada no Cuckoo Sandbox. Essa ferramenta roda no "host" e automatiza a análise dentro de um ambiente virtualizado.

https://www.cuckoosandbox.org/

Abraço!

Share this post


Link to post
Share on other sites

Talvez o docker seja interessante para analise de malware ja conhecidos e analisados, pois você ja vai saber que ele não vai carregar nenhum tipo de exploit que possa sair do container para o host, o container compartilha o kernel do host, logo pastas como /proc ( e se não me engano /sys, /dev ), ficam inclusas no container porem somente com permissão de leitura, mas vale lembrar que essas permissões volta e meia são burladas ( lembrar do dirtycow ).

Para malwares que acabaram de sair do forno ou algum que tu recebeu por email ( sendo um elf no caso ), fortemente recomendo uma vm para mais segurança! vlw

  • Agradecer 1

Share this post


Link to post
Share on other sites

Se o host for dedicado a analise de malware, não vejo a utilização de dockers como uma má ideia.

Além disso, essa não é a única maneira de utilizar docker durante sua análise.. você pode montar uma infra (e.g. servidor DNS, proxy, etc) que podem registrar coisas para você durante sua análise. Ou então, algo bem legal seria encapsular sua sandbox dentro de um container (e.g. docker-cuckoo, mas não testei esse projeto ainda 😞).

Uma aparente limitação, que talvez alguém possa me esclarecer, é se é possível usar Docker no Windows para rodar um ambiente de usuário (i.e. Windows 7/8/10 e não um Windows Server da vida) que poderia ser acessado via RDP, por exemplo, para fazer análise. Imagine uma imagem docker dessa com FlareVM que mão na roda não seria...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...