- PRoot 使威胁参与者能够绕过系统的工具和环境设置以避免检测。
- 在攻击者的系统中创建包含所有所需内容的恶意文件系统,以躲避检测工具。
- 除了加密挖掘用例之外,PRoot 还可用于恶意软件部署和促进持久性。
Sysdig威胁研究小组就新出现的威胁向用户发出警告。该团队表示,威胁参与者正在利用 PRoot 将其操作范围扩展到多个Linux发行版。PRoot 是一种开源工具,可为威胁参与者提供跨不同 Linux 发行版的一致操作环境。凭借其仿真功能,它还可以在其他架构上构建恶意软件。
自带文件系统
后开发技术称为 BYOF,代表“自带文件系统”。黑客正在使用它,尤其是当他们没有提前充分了解环境,或者缺乏资源来为环境更改工具时。另一方面,创建 PRoot 是为了提高兼容性,为管理员简化操作。PRoot 依赖于两个元素:
- PTRACE:通常在 Linux 发行版中可用的非特权系统调用,可以监视、控制和操作其他进程。
- QEMU:一种可以通过 动态二进制执行模拟为不同体系结构构建的程序的工具; Quick EMUlation 的缩写。
攻击从创建要部署的恶意文件系统开始,包括操作成功所需的一切。早期的准备工作使得所有工具都可以下载、配置或安装到攻击者的系统上。
档案被放置在众所周知的存储平台上用于攻击。当黑客获得对系统的访问权限时,文件系统会与 PRoot 一起下载,因此不需要任何额外的外部文件或库。然后文件系统被解压,攻击者运行 proot 可执行文件。PRoot 为威胁参与者提供了许多好处:
- PRoot 可以通过将恶意代码打包到文件系统中来轻松提供恶意代码。
- 由于命令更有可能成功,因此攻击更具可扩展性。
- 攻击者可以定义不同的攻击路径。安装和执行矿工只是其中一种情况;也可以设置持久性机制或运行其他恶意软件(DDoS、加密锁等)。
- 编译的恶意可执行文件的架构无关紧要。
Sysdig 说,
« 攻击者的后开发技术和路径总是在改进和发展,以逃避受害者环境中设置和执行阶段的检测。
PRoot 的发现允许攻击者绕过目标系统的工具并跳过环境设置和执行是防御规避的强大选项。除了加密挖掘用例之外,PRoot 还可用于恶意软件部署和促进持久性。它消除了攻击者对目标不同架构类型的担忧,并提供了更大的攻击规模和成功率。
因此,拥有一个可以检测此行为的运行时检测层(例如 Falco)对贵公司的安全操作很有帮助。确保您可以观察到此类威胁,以降低被利用的风险、加密挖矿的成本以及攻击者在您网络上的持久性。»
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客正在BYOF中使用PRoot来扩大他们的行动范围
