攻擊者利用 PRoot 隔離文件系統漏洞可劫持 Linux 設備。
BYOF ( Bring Your Own Filesystem ) 攻擊是指攻擊者在其自有的設備上創建一個惡意文件系統,而該設備上含有用于發起攻擊活動的标準工具集。然後将該文件系統下載和挂載到被入侵的機器上,為下一步入侵 Linux 系統提供一個預配置的工具集。
PRoot 是一款 Linux 開源工具,融合了 'chroot'、'mount --bind'、'binfmt_misc' 命令,允許用戶在 Linux 系統中搭建一個隔離的 root 文件系統。近日,Sysdig 研究人員發現有黑客濫用 Linux PRoot 工具來發起 BYOF 攻擊活動,影響多個 Linux 發行版。
默認情況下,PRoot 進程活動範圍局限在隔離的 guest 文件系統中。但 QEMU 模拟可以用來混合 host 主機和 guest 程序的執行。此外,guest 文件系統中的程序也可以使用内置的 mount/bind 機制來訪問 host 系統的文件和目錄。
Sysdig 研究人員發現攻擊者利用 PRoot 在受害者系統中部署惡意文件系統,包括網絡掃描工具 "masscan"、"nmap",以及 XMRig 加密貨币挖礦機以及對應的配置文件。
文件系統中包含了用于攻擊的所有内容,類似于一個包含了必要依賴的 GZIP 壓縮文件,從 DropBox 這樣的可信雲托管服務直接釋放。由于包含了所有的依賴,因此無需執行額外的配置命令。
圖 惡意 guest 文件系統
由于 PRoot 是靜态編譯的,不需要任何依賴,攻擊者隻需要從 gitlab 下載預編譯的二進制文件,執行下載的文件提取出文件系統,并挂載到系統上就可以。
研究人員發現在攻擊活動中,攻擊者将文件系統解壓到 '/tmp/Proot/' 目錄,然後激活 XMRig 加密貨币挖礦機。
圖 使用 host CPU 在 guest 文件系統上啟動 XMRig 加密貨币挖礦機
Sysdig 指出,攻擊者通過 PRoot 可以下載除 XMRig 加密貨币挖礦機之外的其他 payload,對被入侵的系統引發更加嚴重的後果。
攻擊者通過使用預配置的 PRoot 文件系統可以實現跨操作系統配置,而無需将惡意軟件修改為特定架構,也無需包含特定依賴和工具。
更多技術分析參見:https://sysdig.com/blog/proot-post-explotation-cryptomining/
