Docker化自动采集的方法是什么

发布时间:2021-10-23 15:56:16 作者:iii
来源:亿速云 阅读:113

本篇内容主要讲解“Docker化自动采集的方法是什么”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“Docker化自动采集的方法是什么”吧!

概述

一个真实的Linux恶意软件入侵环境,往往包含有病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,若我们只获得单一的病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析,以及产品安全能力测试。下面,介绍一种基于Docker的方法,可以自动化地采集及还原恶意软件的整个攻击场景,以最大程度地模拟主机中毒的环境,方便后续对恶意软件进行研究与分析。

该方法的原理是,使用bash脚本自动化收集中毒主机上的病毒项,然后打包成容器环境,最后通过Docker在本地模拟运行,这时生成的Docker容器就包含了完整的恶意软件环境。

Docker化自动采集的方法是什么

详细步骤

如下,以StartMiner(8220挖矿家族)的中毒环境作为演示,通过命令可以看到主机中包含有恶意定时任务、病毒文件、病毒进程等信息。

Docker化自动采集的方法是什么

采集脚本具体的代码如下,主要采集以下目录的文件:

Docker化自动采集的方法是什么

然后自动化生产docker-compose.yml文件,用于一键创建docker容器。

Docker化自动采集的方法是什么

malbox.sh脚本运行数秒后,即可打包好所有病毒项,生成文件malbox.tar.gz。

Docker化自动采集的方法是什么

将malbox.tar.gz在本地解压缩,malbox目录便包含Docker环境的所需的文件系统和配置文件,docker-compose.yml的功能为映射关键目录,及模拟执行恶意命令。在运行之前需要自定义下docker-compose.yml的信息,填上病毒家族名,以及启动时要运行的命令(可以参考ps.txt及netstat.txt填上需要模拟的病毒进程命令)。

Docker化自动采集的方法是什么

修改完后,使用命令docker-compose up -d即可一键部署容器,查看容器列表,若出现了startmienr_2010便说明容器运行成功了。

Docker化自动采集的方法是什么

恶意软件容器所使用的基础镜像为malbox,该镜像在ubuntu镜像基础上新增了恶意软件常用到的一些命令及服务(wget、curl、ssh、crontab等),以达到更好的模拟效果。

Docker化自动采集的方法是什么

使用docker exec -it startminer_2010 /bin/bash命令,就能进入到容器,此时的环境就跟中毒主机的环境几乎一样了,可以在该环境中进行排查分析。

Docker化自动采集的方法是什么

查看进程,也能清晰地看到恶意的下载进程,以及CPU占用率极高的挖矿进程。

Docker化自动采集的方法是什么

容器中的syslog日志和audit.log日志,也有助于研究员对整个恶意软件的攻击链进行溯源。

Docker化自动采集的方法是什么

audit可以使用自定义规则进行监控,将可疑行为按照ATT&CK矩阵进行分类。

Docker化自动采集的方法是什么

到此,相信大家对“Docker化自动采集的方法是什么”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

推荐阅读:
  1. filebeat采集docker的syslog日志
  2. Jenkins+Docker的自动化CI/CD实践

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

docker

上一篇:如何使用HSDB探秘运行时数据区

下一篇:如何快速理解C ++中的运算符重载

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》