Docker release_agent cgroups escape
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe zu bekämpfen, die aus informationsstehlender Malware resultieren.
Sie können ihre Website besuchen und ihren Motor kostenlos ausprobieren unter:
Für weitere Details siehe den originalen Blog-Beitrag. Dies ist nur eine Zusammenfassung:
Original PoC:
Der Proof of Concept (PoC) demonstriert eine Methode, um cgroups auszunutzen, indem eine release_agent
-Datei erstellt wird und deren Aufruf ausgelöst wird, um beliebige Befehle auf dem Container-Host auszuführen. Hier ist eine Aufschlüsselung der beteiligten Schritte:
Umgebung vorbereiten:
Ein Verzeichnis
/tmp/cgrp
wird erstellt, um als Einhängepunkt für die cgroup zu dienen.Der RDMA cgroup-Controller wird in dieses Verzeichnis eingehängt. Falls der RDMA-Controller fehlt, wird empfohlen, den
memory
cgroup-Controller als Alternative zu verwenden.
Richten Sie die untergeordnete Cgroup ein:
Eine untergeordnete Cgroup mit dem Namen "x" wird innerhalb des eingehängten Cgroup-Verzeichnisses erstellt.
Benachrichtigungen für die Cgroup "x" werden aktiviert, indem eine 1 in ihre notify_on_release-Datei geschrieben wird.
Konfigurieren des Release-Agenten:
Der Pfad des Containers auf dem Host wird aus der Datei /etc/mtab abgerufen.
Die release_agent-Datei der cgroup wird dann so konfiguriert, dass ein Skript namens /cmd im erhaltenen Host-Pfad ausgeführt wird.
Erstellen und Konfigurieren des /cmd-Skripts:
Das /cmd-Skript wird innerhalb des Containers erstellt und so konfiguriert, dass es ps aux ausführt und die Ausgabe in einer Datei namens /output im Container umleitet. Der vollständige Pfad von /output auf dem Host wird angegeben.
Starte den Angriff:
Ein Prozess wird innerhalb des "x" Kind-Cgroups gestartet und sofort beendet.
Dies löst den
release_agent
(das /cmd Skript) aus, das ps aux auf dem Host ausführt und die Ausgabe in /output innerhalb des Containers schreibt.
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Engine kostenlos ausprobieren unter:
Last updated