鲁达 黑客在 BYOF(自带文件系统)攻击中滥用开源 Linux PRoot 实用程序,以提供可在许多 Linux 发行版上运行的一致的恶意工具存储库。
自带文件系统攻击是指攻击者在他们自己的设备上创建恶意文件系统,其中包含一组用于进行攻击的标准工具。攻击者下载此文件系统并将其安装到受感染的机器上,提供可用于进一步危害 Linux 系统的预配置工具包。
Sysdig 表示,这些攻击通常会导致加密货币挖矿,但也可能出现更有害的情况。研究人员还警告说,这种新技术可以很容易地针对各种 Linux 端点扩展恶意操作。
PRoot 是一个开源实用程序,结合了“chroot”、“mount --bind”和“binfmt_misc”命令,允许用户在 Linux 中设置一个独立的根文件系统。
默认情况下,PRoot 进程被限制在来宾文件系统中;然而,QEMU 仿真可用于混合主机和来宾程序的执行。
此外,来宾文件系统中的程序可以使用内置的挂载/绑定机制从主机系统访问文件和目录。
Sysdig 看到的攻击使用 PRoot 在已经受损的系统上部署恶意文件系统,其中包括“masscan”和“nmap”等网络扫描工具、XMRig cryptominer 及其配置文件。
文件系统包含攻击所需的一切,整齐地打包在一个 Gzip 压缩的 tar 文件中,其中包含所有必要的依赖项,直接从 DropBox 等受信任的云托管服务中删除。
恶意来宾文件系统 (Sysdig)
由于 PRoot 是静态编译的并且不需要任何依赖项,攻击者只需从 GitLab 下载预编译的二进制文件,然后针对攻击者下载和提取的文件系统执行它以挂载它。
在 Sysdig 看到的大多数情况下,攻击者在“/tmp/Proot/”上解压文件系统,然后激活 XMRig cryptominer。
在来宾文件系统上启动 XMRig使用主机的 GPU (Sysdig)挖矿
正如 Sysdig 在报告中强调的那样,威胁行为者可以轻松使用 PRoot 下载除 XMRig 之外的其他有效载荷,从而可能对被破坏的系统造成更严重的损害。
恶意文件系统上存在“mascan”意味着攻击者采取了激进的姿态,可能表明他们计划从受感染的机器上破坏其他系统。