黑客在 BYOF(自带文件系统)攻击中滥用开源 Linux PRoot 实用程序,以提供可在许多 Linux 发行版上运行的一致的恶意工具存储库。
自带文件系统攻击是指威胁行为者在他们自己的设备上创建恶意文件系统,其中包含一组用于进行攻击的标准工具。
然后下载此文件系统并将其安装到受感染的机器上,提供可用于进一步危害 Linux 系统的预配置工具包。
“首先,威胁参与者构建了一个将被部署的恶意文件系统。这个恶意文件系统包括操作成功所需的一切,”Sysdig 的一份新报告解释道。
“在这个早期阶段进行这种准备工作可以让所有工具都可以下载、配置或安装在攻击者自己的系统上,远离检测工具的窥视。”
Sysdig 表示,这些攻击通常会导致加密货币挖矿,但也可能出现更有害的情况。
研究人员还警告说,这种新技术可以很容易地针对各种 Linux 端点扩展恶意操作。
滥用 Linux PRoot 实用程序
PRoot 是一个开源实用程序,结合了“chroot”、“mount –bind”和“binfmt_misc”命令,允许用户在 Linux 中设置一个独立的根文件系统。
默认情况下,PRoot 进程被限制在来宾文件系统中;然而,QEMU 仿真可用于混合主机和来宾程序的执行。
此外,来宾文件系统中的程序可以使用内置的挂载/绑定机制从主机系统访问文件和目录。
Sysdig 看到的攻击使用 PRoot 在已经受损的系统上部署恶意文件系统,其中包括“masscan”和“nmap”等网络扫描工具、XMRig cryptominer 及其配置文件。
文件系统包含攻击所需的一切,整齐地打包在一个 Gzip 压缩的 tar 文件中,其中包含所有必要的依赖项,直接从 DropBox 等受信任的云托管服务中删除。
由于 PRoot 是静态编译的并且不需要任何依赖项,威胁参与者只需从 GitLab 下载预编译的二进制文件,然后针对攻击者下载和提取的文件系统执行它以挂载它。
在 Sysdig 看到的大多数情况下,攻击者在“/tmp/Proot/”上解压文件系统,然后激活 XMRig cryptominer。
“任何依赖项或配置也包含在文件系统中,因此攻击者不需要运行任何额外的设置命令,”Sysdig 解释说
“攻击者启动 PRoot,将其指向解压缩的恶意文件系统,并指定要执行的 XMRig 二进制文件。”
正如 Sysdig 在报告中强调的那样,威胁行为者可以轻松使用 PRoot 下载除 XMRig 之外的其他有效载荷,从而可能对被破坏的系统造成更严重的损害。
恶意文件系统上存在“mascan”意味着攻击者采取了激进的姿态,可能表明他们计划从受感染的机器上破坏其他系统。
简化攻击
黑客对 PRoot 的滥用使得这些开发后攻击平台和分布不可知,增加了成功的机会和威胁参与者的隐蔽性。
此外,预配置的 PRoot 文件系统允许攻击者在许多操作系统配置中使用工具包,而无需将其恶意软件移植到目标架构或包含依赖项和构建工具。
Sysdig 解释说:“使用 PRoot,几乎不会考虑或关注目标的架构或分布,因为该工具消除了通常与可执行兼容性、环境设置、恶意软件和/或矿工执行相关的攻击斗争。”
“它让攻击者更接近‘一次编写,到处运行’的理念,这是一个长期追求的目标。”
由 PRoot 支持的攻击使环境设置与黑客无关,使他们能够快速扩大恶意操作。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用PRoot隔离文件系统劫持Linux设备
