聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
黑客正在滥用开源的 Linux PRoot 工具发动BYOF (Bring Your Own Filesystem) 攻击,在很多 Linux 发行版本上提供恶意工具仓库。
BYOF攻击是指,攻击者在自己的设备上创建恶意文件系统,其中包括可用于发动攻击的标准工具集。该文件系统之后被下载到受陷机器上,提供可用于进一步攻陷Linux 系统的预配置工具集。
Sysdig 公司发布报告指出,“首先,攻击者构建了将被部署的恶意文件系统。该文件系统中包括成功攻击所需的所有一切。在该早期阶段的准备工作使攻击者能够下载、配置或安装所有工具,远离检测工具。”
研究人员指出这类工具通常会导致密币挖掘,甚至存在更糟糕的场景。他们提醒称这种新型攻击技术可导致所有类型的Linux 端点遭受恶意攻击。
PRoot 是一款结合了 “chroot”、”mount-bind” 和 “binfmt_misc” 命令的开源工具,可使用户在Linux 内设立隔离的root文件系统。在默认情况下,这些 PRoot 进程限制在guest 文件系统内;然而,QEMU 仿真可用于混合host 和guest 程序执行。
另外,该guest 文件系统中的程序可利用内置的挂载/绑定机制,从host系统访问文件和目录。研究人员从攻击活动中发现,攻击者利用PRoot 在已遭攻陷的系统上部署恶意文件系统,这些系统中包括多种网络扫描工具如“masscan”和 “nmap”、XMRig 密币挖矿机和配置文件等。
该文件系统中包括攻击所需一切,且连同所有必要的依赖等都被封装到 Gzip 压缩文件中。这些依赖都是从可信的云托管服务Dropbox等直接释放的。
由于PRoot 是静态编译的且无需任何依赖,因此攻击者只需从GitLab 下载预编译的二进制并在攻击者下载和提取的文件系统中执行即可。在多数攻击活动中,攻击者将文件系统解压在 “/tmp/Proot”上并激活XXRig 密币挖矿机。研究人员解释称,“文件系统中包含任何依赖或配置,因此攻击者无需运行任何其它设置命令。攻击者启动PRoot,将其指向解压的恶意文件系统,并指定要执行的XMRig 二进制。”
报告指出,攻击者可轻松利用PRoot下载除XMRig 以外的其它payload,从而为受陷系统造成更严重的损害。恶意文件系统上的 “mascan” 说明攻击者采取了激进方式,很可能说明他们计划攻陷受陷机器中的其它系统。
黑客滥用 PRoot 使得利用后攻击的成功率提升且增强了隐秘性。另外,预配置的PRoot 文件系统可使攻击者在很多OS配置中使用工具集,而无需将恶意软件迁移到目标基础架构或包含依赖和构建工具。
研究人员解释称,“使用PRoot,无需担心目标的基础设施或分发,因为该工具克服了常与可执行兼容性、环境设置和恶意软件和/或矿机执行相关联的攻击难点。它可使攻击者越来越接近于‘写一次,到处运行’的理念,这是一个长期的目标。”因PRoot 而起的攻击使得环境设置与黑客无关,后者可以迅速扩大恶意操作范围。
https://www.bleepingcomputer.com/news/security/hackers-hijack-linux-devices-using-proot-isolated-filesystems/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~