Ir para conteúdo
Entre para seguir isso  
Douglas

Uso de Container (Docker) para análise de malware

Posts Recomendados

Senhores, 

Alguém aqui já testou utilizar um sistema de containers (docker) para análise de malwares ao invés de VMs convencionais?
Pela leitura que tive (não tenho o conhecimento prático) um container não faz uma isolamento tão eficiente entre a máquina host e a virtual, o que não seria uma boa opção para analisar artefatos maliciosos, contudo a agilidade de criar máquinas novas em poucos segundos é algo que chama muito a atenção.

Alguém tem experiência que possa compartilhar?

Abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Falai, @Douglas.. Bele ?

Cara também não sei muito sobre o tema, o que eu li sobre foi que os analistas não colocam toda a confiança no sistema de isolamento do Docker. O ponto chave, pelo o que eu entendi, é a facilidade de juntar as ferramentas em uma imagem e rodá-las para analisar algum artefato. Parece que ele funciona melhor em linux por causa do conceito com o qual o Kernel do Linux foi desenvolvido. Em Windows aparentemente funciona da mesma forma. Docker isola algumas camadas no OS, mas pelo que eu vi ele compartilha a camada de Kernel entre as imagens e o HOST (o que não seria uma análise confiável).

https://remnux.org/docs/containers/malware-analysis/

Se quiser análise automatizada eu indico que você dê uma olhada no Cuckoo Sandbox. Essa ferramenta roda no "host" e automatiza a análise dentro de um ambiente virtualizado.

https://www.cuckoosandbox.org/

Abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Talvez o docker seja interessante para analise de malware ja conhecidos e analisados, pois você ja vai saber que ele não vai carregar nenhum tipo de exploit que possa sair do container para o host, o container compartilha o kernel do host, logo pastas como /proc ( e se não me engano /sys, /dev ), ficam inclusas no container porem somente com permissão de leitura, mas vale lembrar que essas permissões volta e meia são burladas ( lembrar do dirtycow ).

Para malwares que acabaram de sair do forno ou algum que tu recebeu por email ( sendo um elf no caso ), fortemente recomendo uma vm para mais segurança! vlw

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×