Docker化自動(dòng)采集的方法是什么

本篇內(nèi)容主要講解“Docker化自動(dòng)采集的方法是什么”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“Docker化自動(dòng)采集的方法是什么”吧!

概述

一個(gè)真實(shí)的Linux惡意軟件入侵環(huán)境，往往包含有病毒文件、病毒進(jìn)程、惡意啟動(dòng)項(xiàng)、網(wǎng)絡(luò)通信流量等病毒項(xiàng)，若我們只獲得單一的病毒文件，很難還原出惡意軟件的整個(gè)攻擊環(huán)境，從而不便于對(duì)攻擊鏈進(jìn)行全面的研究分析，以及產(chǎn)品安全能力測(cè)試。下面，介紹一種基于Docker的方法，可以自動(dòng)化地采集及還原惡意軟件的整個(gè)攻擊場(chǎng)景，以最大程度地模擬主機(jī)中毒的環(huán)境，方便后續(xù)對(duì)惡意軟件進(jìn)行研究與分析。

該方法的原理是，使用bash腳本自動(dòng)化收集中毒主機(jī)上的病毒項(xiàng)，然后打包成容器環(huán)境，最后通過Docker在本地模擬運(yùn)行，這時(shí)生成的Docker容器就包含了完整的惡意軟件環(huán)境。

詳細(xì)步驟

如下，以StartMiner（8220挖礦家族）的中毒環(huán)境作為演示，通過命令可以看到主機(jī)中包含有惡意定時(shí)任務(wù)、病毒文件、病毒進(jìn)程等信息。

采集腳本具體的代碼如下，主要采集以下目錄的文件：

• /tmp/、/root/、/opt/ 病毒文件常見目錄

• 定時(shí)任務(wù)文件

• ssh緩存文件

• syslog和audit安全日志

• 進(jìn)程信息

• 網(wǎng)絡(luò)信息

然后自動(dòng)化生產(chǎn)docker-compose.yml文件，用于一鍵創(chuàng)建docker容器。

malbox.sh腳本運(yùn)行數(shù)秒后，即可打包好所有病毒項(xiàng)，生成文件malbox.tar.gz。

將malbox.tar.gz在本地解壓縮，malbox目錄便包含Docker環(huán)境的所需的文件系統(tǒng)和配置文件，docker-compose.yml的功能為映射關(guān)鍵目錄，及模擬執(zhí)行惡意命令。在運(yùn)行之前需要自定義下docker-compose.yml的信息，填上病毒家族名，以及啟動(dòng)時(shí)要運(yùn)行的命令（可以參考ps.txt及netstat.txt填上需要模擬的病毒進(jìn)程命令）。

修改完后，使用命令docker-compose up -d即可一鍵部署容器，查看容器列表，若出現(xiàn)了startmienr_2010便說明容器運(yùn)行成功了。

惡意軟件容器所使用的基礎(chǔ)鏡像為malbox，該鏡像在ubuntu鏡像基礎(chǔ)上新增了惡意軟件常用到的一些命令及服務(wù)（wget、curl、ssh、crontab等），以達(dá)到更好的模擬效果。

使用docker exec -it startminer_2010 /bin/bash命令，就能進(jìn)入到容器，此時(shí)的環(huán)境就跟中毒主機(jī)的環(huán)境幾乎一樣了，可以在該環(huán)境中進(jìn)行排查分析。

查看進(jìn)程，也能清晰地看到惡意的下載進(jìn)程，以及CPU占用率極高的挖礦進(jìn)程。

容器中的syslog日志和audit.log日志，也有助于研究員對(duì)整個(gè)惡意軟件的攻擊鏈進(jìn)行溯源。

audit可以使用自定義規(guī)則進(jìn)行監(jiān)控，將可疑行為按照ATT&CK矩陣進(jìn)行分類。

到此，相信大家對(duì)“Docker化自動(dòng)采集的方法是什么”有了更深的了解，不妨來實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！