Day-254-云环境与容器取证

# Day 275: 云环境与容器取证

> 应急响应系列第 15 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [云取证概述](#云取证概述)
2. [云环境特点与挑战](#云环境特点与挑战)
3. [AWS 取证](#aws 取证)
4. [Azure 取证](#azure 取证)
5. [容器取证](#容器取证)
6. [Kubernetes 取证](#kubernetes 取证)
7. [云日志分析](#云日志分析)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 云取证概述

### 云取证定义

**云取证（Cloud Forensics）** 是在云计算环境中进行数字取证的过程，涉及 IaaS、PaaS、SaaS 各种服务模式。

### 云取证与传统取证对比

| 维度 | 传统取证 | 云取证 |
|------|----------|--------|
| **物理访问** | 可直接接触设备 | 无物理访问 |
| **数据位置** | 本地已知 | 分布式、多区域 |
| **数据控制** | 完全控制 | 与云服务商共享 |
| **取证工具** | 成熟工具 | 需要云原生工具 |
| **法律管辖** | 单一司法管辖区 | 多司法管辖区 |
| **取证速度** | 可快速开始 | 依赖云服务商配合 |

### 云取证场景

| 场景 | 说明 |
|------|------|
| **云主机入侵** | EC2、VM 被入侵 |
| **数据泄露** | 云存储数据泄露 |
| **账户劫持** | 云账户被盗用 |
| **恶意实例** | 攻击者创建恶意资源 |
| **容器逃逸** | 容器突破隔离 |

---

## 云环境特点与挑战

### 云环境特点

#### 多租户架构

```
┌─────────────────────────────────────────────────────────────┐
│                    云多租户架构                              │
│                                                             │
│  ┌─────────────────────────────────────────────────────┐   │
│  │                  云平台基础设施                       │   │
│  │  ┌───────────┐  ┌───────────┐  ┌───────────┐       │   │
│  │  │ 租户 A    │  │ 租户 B    │  │ 租户 C    │       │   │
│  │  │  VM       │  │  VM       │  │  VM       │       │   │
│  │  │  存储     │  │  存储     │  │  存储     │       │   │
│  │  │  网络     │  │  网络     │  │  网络     │       │   │
│  │  └───────────┘  └───────────┘  └───────────┘       │   │
│  └─────────────────────────────────────────────────────┘   │
│                                                             │
│  取证挑战：数据隔离、共享资源、权限限制                     │
└─────────────────────────────────────────────────────────────┘
```

#### 动态性

| 特点 | 说明 | 取证影响 |
|------|------|----------|
| **弹性伸缩** | 实例自动创建/销毁 | 证据可能快速消失 |
| **无状态** | 实例重启数据丢失 | 需要快速响应 |
| **自动修复** | 故障自动替换 | 原始证据丢失 |

#### 分布式存储

```
数据分布：
- 多区域复制
- 多可用区冗余
- 对象存储分片

取证影响：
- 数据位置不确定
- 需要跨区域收集
- 完整性验证复杂
```

### 云取证挑战

| 挑战 | 说明 | 应对策略 |
|------|------|----------|
| **无物理访问** | 无法直接接触硬件 | 使用云 API、快照 |
| **数据主权** | 数据跨境存储 | 了解数据位置、合规 |
| **共享责任** | 安全责任共担 | 明确责任边界 |
| **日志限制** | 日志保留期有限 | 及时导出、长期存储 |
| **加密** | 默认加密 | 获取密钥、使用云解密 |
| **成本** | 取证操作产生费用 | 预算规划、优化操作 |

---

## AWS 取证

### AWS 取证数据源

| 服务 | 数据类型 | 取证价值 |
|------|----------|----------|
| **EC2** | 实例、卷、快照 | 系统取证 |
| **S3** | 对象存储 | 数据泄露分析 |
| **CloudTrail** | API 审计日志 | 用户行为追踪 |
| **VPC Flow Logs** | 网络流量日志 | 网络分析 |
| **GuardDuty** | 威胁检测 | 告警信息 |
| **Config** | 配置历史 | 配置变更追踪 |

### EC2 取证

#### 实例快照

```bash
# 创建 EBS 快照
aws ec2 create-snapshot \
  --volume-id vol-xxx \
  --description "Forensic snapshot"

# 等待快照完成
aws ec2 wait snapshot-completed \
  --snapshot-ids snap-xxx

# 创建新卷用于分析
aws ec2 create-volume \
  --snapshot-id snap-xxx \
  --availability-zone us-east-1a
```

#### 内存获取

```bash
# AWS 不支持直接内存获取
# 需要在实例内使用工具

# 安装取证工具
aws ssm send-command \
  --document-name "AWS-RunShellScript" \
  --instance-ids i-xxx \
  --parameters 'commands=["dd if=/dev/mem of=/tmp/memory.dump"]'

# 下载内存转储
aws s3 cp s3://bucket/memory.dump ./
```

#### 实例元数据

```bash
# 获取实例信息
aws ec2 describe-instances --instance-ids i-xxx

# 获取实例元数据（从实例内）
curl http://169.254.169.254/latest/meta-data/
curl http://169.254.169.254/latest/user-data
```

### CloudTrail 分析

#### 日志内容

```json
{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "IAMUser",
    "userName": "admin",
    "accountId": "123456789012"
  },
  "eventTime": "2024-04-12T10:30:15Z",
  "eventSource": "ec2.amazonaws.com",
  "eventName": "RunInstances",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "192.168.1.100",
  "requestParameters": {...},
  "responseElements": {...}
}
```

#### 关键事件检测

```bash
# 检测敏感操作
# - 创建实例
# - 修改安全组
# - 访问密钥创建
# - 策略变更

# 使用 Athena 查询
SELECT eventname, useridentity.arn, sourceipaddress, eventtime
FROM cloudtrail_logs
WHERE eventname IN ('RunInstances', 'AuthorizeSecurityGroupIngress', 'CreateAccessKey')
ORDER BY eventtime DESC;
```

#### 异常行为检测

| 异常行为 | 说明 |
|----------|------|
| 非常规时间操作 | 非工作时间 API 调用 |
| 异常源 IP | 从未见过的 IP 地址 |
| 频繁失败 | 多次 API 调用失败 |
| 权限提升 | 尝试修改 IAM 策略 |
| 日志删除 | 尝试删除 CloudTrail |

### VPC Flow Logs 分析

#### 日志格式

```
版本 账户 ID 接口 ID 源 IP 目的 IP 源端口 目的端口 协议 包数 字节数 开始时间 结束时间 动作 日志状态
2 123456789012 eni-xxx 192.168.1.100 10.0.0.1 54321 443 6 10 1200 1649764215 1649764275 ACCEPT OK
```

#### 分析查询

```sql
-- Athena 查询异常外连
SELECT srcaddr, dstaddr, dstport, packets, bytes
FROM vpc_flow_logs
WHERE srcaddr LIKE '10.%'
  AND dstaddr NOT LIKE '10.%'
  AND dstaddr NOT LIKE '172.16.%'
  AND dstaddr NOT LIKE '192.168.%'
ORDER BY bytes DESC;

-- 检测端口扫描
SELECT srcaddr, COUNT(DISTINCT dstport) as port_count
FROM vpc_flow_logs
WHERE action = 'REJECT'
GROUP BY srcaddr
HAVING COUNT(DISTINCT dstport) > 10;
```

### S3 取证

#### 桶策略分析

```bash
# 获取桶策略
aws s3api get-bucket-policy --bucket my-bucket

# 获取访问日志
aws s3api get-bucket-logging --bucket my-bucket

# 分析异常访问
aws s3api get-bucket-acl --bucket my-bucket
```

#### 数据泄露分析

```bash
# 列出桶内容
aws s3 ls s3://my-bucket --recursive

# 下载可疑文件
aws s3 cp s3://my-bucket/sensitive-data.zip ./

# 分析访问模式
aws cloudtrail lookup-events \
  --lookup-attributes AttributeKey=ResourceName,AttributeValue=my-bucket
```

---

## Azure 取证

### Azure 取证数据源

| 服务 | 数据类型 | 取证价值 |
|------|----------|----------|
| **VM** | 虚拟机、磁盘 | 系统取证 |
| **Storage** | 存储账户 | 数据泄露分析 |
| **Activity Log** | 审计日志 | 用户行为追踪 |
| **NSG Flow Logs** | 网络流量日志 | 网络分析 |
| **Sentinel** | 威胁检测 | 告警信息 |
| **Policy** | 合规日志 | 配置变更 |

### VM 取证

#### 磁盘快照

```bash
# 创建磁盘快照
az snapshot create \
  --resource-group rg-name \
  --name forensic-snapshot \
  --source /subscriptions/xxx/resourceGroups/rg/providers/Microsoft.Compute/disks/disk-name

# 创建新磁盘用于分析
az disk create \
  --resource-group rg-name \
  --name analysis-disk \
  --source forensic-snapshot
```

#### 内存获取

```bash
# Azure 不支持直接内存获取
# 需要使用 VM 扩展或内部工具

# 使用 Run Command
az vm run-command invoke \
  --resource-group rg-name \
  --name vm-name \
  --command-id RunShellScript \
  --scripts "dd if=/dev/mem of=/tmp/memory.dump"
```

### Azure Activity Log

#### 查询活动日志

```bash
# 查询最近活动
az monitor activity-log list \
  --resource-group rg-name \
  --start-time 2024-04-12T00:00:00Z \
  --end-time 2024-04-12T23:59:59Z

# 使用 Log Analytics 查询
# Kusto 查询语言
AzureActivity
| where TimeGenerated > ago(24h)
| where OperationNameValue contains "delete" or OperationNameValue contains "create"
| order by TimeGenerated desc
```

### NSG Flow Logs

#### 分析网络流量

```kusto
// 异常外连检测
AzureNetworkAnalytics_CL
| where SrcIP_s startswith "10."
| where DestIP_s !startswith "10."
| summarize Bytes=sum(BytesSent_d) by SrcIP_s, DestIP_s
| order by Bytes desc

// 端口扫描检测
AzureNetworkAnalytics_CL
| where FlowDirection_s == "I"
| where NSGFlowDecision_s == "D"
| summarize PortCount = dcount(DestPort_d) by SrcIP_s
| where PortCount > 10
```

---

## 容器取证

### 容器取证特点

| 特点 | 说明 | 取证影响 |
|------|------|----------|
| **短暂性** | 容器生命周期短 | 证据快速消失 |
| **共享内核** | 容器共享宿主机内核 | 内核级证据在宿主机 |
| **分层存储** | 镜像分层存储 | 需要分析各层 |
| **网络虚拟化** | 容器网络隔离 | 需要特殊捕获方法 |

### Docker 取证

#### 容器信息收集

```bash
# 列出运行中的容器
docker ps -a

# 获取容器详情
docker inspect container_id

# 获取容器日志
docker logs container_id > container_logs.txt

# 导出容器文件系统
docker export container_id > container_fs.tar
```

#### 镜像分析

```bash
# 查看镜像历史
docker history image_name

# 导出镜像
docker save image_name > image.tar

# 分析镜像层
tar -tf image.tar
```

#### 容器取证工具

| 工具 | 用途 |
|------|------|
| **docker-explore** | 容器文件系统分析 |
| **container-forensics** | 容器取证脚本集 |
| **Docker Bench** | 安全配置检查 |

### 容器攻击检测

| 攻击类型 | 检测指标 |
|----------|----------|
| **容器逃逸** | 特权容器、挂载敏感目录 |
| **恶意镜像** | 未知来源镜像、异常层 |
| **资源滥用** | CPU/内存异常使用 |
| **网络异常** | 异常外连、端口扫描 |

---

## Kubernetes 取证

### K8s 取证数据源

| 资源 | 数据类型 | 取证价值 |
|------|----------|----------|
| **Pods** | 容器实例 | 运行状态、日志 |
| **Deployments** | 部署配置 | 配置变更 |
| **Services** | 服务配置 | 网络暴露 |
| **ConfigMaps** | 配置数据 | 敏感配置 |
| **Secrets** | 密钥数据 | 凭证泄露 |
| **Audit Logs** | 审计日志 | API 操作记录 |

### 取证命令

```bash
# 获取 Pod 信息
kubectl get pods -A -o yaml > pods.yaml

# 获取 Pod 日志
kubectl logs pod_name -n namespace > pod_logs.txt

# 获取事件
kubectl get events -A --sort-by='.lastTimestamp' > events.txt

# 获取配置
kubectl get configmaps,secrets -A -o yaml > configs.yaml

# 获取审计日志
kubectl get --raw /apis/audit.k8s.io/v1/ > audit.json
```

### 容器运行时取证

#### containerd

```bash
# 列出容器
ctr containers list

# 获取容器信息
ctr containers info container_id
```

#### CRI-O

```bash
# 使用 crictl
crictl pods
crictl containers
crictl logs container_id
```

### K8s 攻击检测

| 攻击类型 | 检测指标 |
|----------|----------|
| **未授权访问** | API Server 未授权请求 |
| **特权容器** | privileged: true |
| **主机网络** | hostNetwork: true |
| **敏感挂载** | 挂载/etc、/var/run/docker.sock |
| **挖矿** | CPU 持续高使用率 |

---

## 云日志分析

### 日志聚合

```
云日志 → 导出 → SIEM/日志平台 → 分析
  │
  ├─ CloudTrail (AWS)
  ├─ Activity Log (Azure)
  ├─ VPC Flow Logs
  ├─ GuardDuty
  └─ 应用日志
```

### 关键日志源

| 日志类型 | 保留期 | 导出建议 |
|----------|--------|----------|
| **审计日志** | 90 天默认 | 导出长期存储 |
| **流量日志** | 10-30 天 | 导出关键流量 |
| **访问日志** | 30-90 天 | 导出异常访问 |
| **应用日志** | 可配置 | 根据需求配置 |

### 日志分析场景

#### 账户劫持检测

```sql
-- 异常登录检测
SELECT useridentity.arn, sourceipaddress, COUNT(*) as login_count
FROM cloudtrail_logs
WHERE eventname = 'ConsoleLogin'
  AND responseelements.consolelogin = 'Failure'
GROUP BY useridentity.arn, sourceipaddress
HAVING COUNT(*) > 5;
```

#### 数据外传检测

```sql
-- 大量数据下载
SELECT useridentity.arn, SUM(responseelements.bytes) as total_bytes
FROM cloudtrail_logs
WHERE eventname = 'GetObject'
GROUP BY useridentity.arn
ORDER BY total_bytes DESC;
```

#### 资源滥用检测

```sql
-- 异常资源创建
SELECT useridentity.arn, eventname, COUNT(*) as count
FROM cloudtrail_logs
WHERE eventname IN ('RunInstances', 'CreateBucket', 'CreateLoadBalancer')
GROUP BY useridentity.arn, eventname
HAVING COUNT(*) > 10;
```

---

## 总结与思考

### 核心要点回顾

1. **云取证需要云原生方法** - 传统工具不适用

2. **API 是主要取证接口** - 通过 API 收集证据

3. **日志是关键证据** - 云审计日志至关重要

4. **快照是主要获取方式** - 磁盘/卷快照分析

5. **容器取证特殊** - 短暂性、共享性

### 实战建议

1. **提前准备** - 配置日志导出、备份策略

2. **权限预留** - 确保取证账户有足够权限

3. **自动化工具** - 使用云原生取证工具

4. **合规考虑** - 了解数据位置和法规

5. **持续学习** - 云服务快速变化

---

## 参考资料

### 工具资源

- **AWS Forensics** - https://github.com/awslabs/aws-forensics
- **Azure Forensics** - Microsoft 官方文档
- **Container Forensics** - https://github.com/dfir-track/container-forensics

### 学习资源

- **SANS Cloud Forensics** - https://www.sans.org/
- **Cloud Security Alliance** - https://cloudsecurityalliance.org/

---

*365 天信息安全技术系列 | Day 275 | 云环境与容器取证*