Порівняння сканерів на вразливості для виявлення обфускованого шквідливого коду в контейнерах

Abstract

Зростання популярності контейнеризації у хмарних середовищах супроводжується збільшенням кількості атак, що використовують обфусковане шкідливе програмне забезпечення, яке уникає виявлення статичними сканерами. Проведено експериментальне порівняння можливостей двох інструментів безпеки контейнерів — Trivy (статичний аналіз) та Tracee (динамічне спостереження на основі eBPF) — у виявленні шкідливих виконуваних файлів, прихованих у нестандартних шляхах, таких як /tmp/. Було створено сценарій запуску обфускованого двійкового файлу в контейнері, що імітує поведінку типових зловмисників. Trivy не виявив жодної загрози в образі, тоді як Tracee зафіксував фактичний запуск шкідливого коду під час виконання. Для наочного представлення результатів було розроблено GitHub Actions-процес з автоматичним збиранням звітів та метрик, зокрема Suspicious Exec Rate — відношення запусків із нестандартних шляхів до загальної кількості execve. Результати демонструють обмеження signature-based SCA-аналізу та підкреслюють важливість доповнення статичного сканування динамічними методами аналізу поведінки. Запропонований підхід дає змогу ефективно виявляти загрози, що залишаються непоміченими в традиційних CI/CD-процесах.The growing popularity of containerization in cloud environments is accompanied by an increasing number of attacks that leverage obfuscated malware designed to evade detection by static scanners. This paper presents an experimental comparison of two container security tools – Trivy (static analysis) and Tracee (dynamic observation based on eBPF) – in detecting malicious executables hidden in non-standard paths such as /tmp/. A scenario was created to simulate the execution of an obfuscated binary file inside a container, mimicking typical attacker behavior. Trivy failed to detect any threat within the image, whereas Tracee successfully captured the actual execution of the malicious code at runtime. To visualize the results, a GitHub Actions workflow was implemented to automatically generate reports and metrics, including the Suspicious Exec Rate – the ratio of executions from non-standard paths to the total number of execve events. The results highlight the limitations of signature-based SCA analysis and emphasize the importance of complementing static scanning with dynamic behavior analysis methods. The proposed approach enables the effective detection of threats that remain unnoticed in traditional CI/CD pipelines.