No Comments

Hacker entführen Linux-Geräte mit PRoot-Systemen

 

Hacker missbrauchen das Open-Source-Linux-Dienstprogramm PRoot für BYOF-Angriffe (Bring Your Own Filesystem), um ein konsistentes Repository bösartiger Tools bereitzustellen, die auf vielen Linux-Distributionen funktionieren.

Bei einem Bring-Your-Own-Filesystem-Angriff erstellen Angreifer auf ihren eigenen Geräten ein bösartiges Dateisystem, das einen Standardsatz von Tools zur Durchführung von Angriffen enthält.

Dieses Dateisystem wird dann heruntergeladen und auf kompromittierten Maschinen gemountet, wodurch ein vorkonfiguriertes Toolkit bereitgestellt wird, mit dem ein Linux-System weiter kompromittiert werden kann.

„Zunächst erstellen Bedrohungsakteure ein bösartiges Dateisystem, das bereitgestellt wird. Dieses bösartige Dateisystem enthält alles, was die Operation zum Erfolg braucht“, erklärt ein neuer Bericht von Sysdig.

„Durch diese Vorbereitung in diesem frühen Stadium können alle Tools heruntergeladen, konfiguriert oder auf dem eigenen System des Angreifers installiert werden, weit weg von den neugierigen Augen der Erkennungstools.“

Laut Sysdig führen die Angriffe in der Regel zum Schürfen von Kryptowährungen, obwohl schädlichere Szenarien möglich sind.

Die Forscher warnen auch davor, wie einfach diese neuartige Technik die Skalierung böswilliger Operationen gegen Linux-Endpunkte aller Art machen könnte.

Missbrauch des Linux-Dienstprogramms PRoot

PRoot ist ein Open-Source-Dienstprogramm, das die Befehle „chroot“, „mount –bind“ und „binfmt_misc“ kombiniert und es Benutzern ermöglicht, ein isoliertes Root-Dateisystem innerhalb von Linux einzurichten.

Standardmäßig sind die PRoot-Prozesse auf das Gastdateisystem beschränkt; Die QEMU-Emulation kann jedoch verwendet werden, um die Ausführung von Host- und Gastprogrammen zu mischen.

Darüber hinaus können Programme innerhalb des Gastdateisystems den integrierten Mount/Bind-Mechanismus verwenden, um auf Dateien und Verzeichnisse des Hostsystems zuzugreifen.

Die von Sysdig beobachteten Angriffe verwenden PRoot, um ein bösartiges Dateisystem auf bereits kompromittierten Systemen bereitzustellen, die Netzwerk-Scan-Tools wie „masscan“ und „nmap“, den XMRig-Kryptominer und ihre Konfigurationsdateien enthalten.

Das Dateisystem enthält alles, was für den Angriff erforderlich ist, ordentlich verpackt in einer Gzip-komprimierten Tar-Datei mit allen erforderlichen Abhängigkeiten, die direkt von vertrauenswürdigen Cloud-Hosting-Diensten wie DropBox abgelegt werden.


Das bösartige Gastdateisystem (Sysdig)

Da PRoot statisch kompiliert ist und keine Abhängigkeiten erfordert, laden Angreifer einfach die vorkompilierte Binärdatei von GitLab herunter und führen sie gegen das heruntergeladene und extrahierte Dateisystem des Angreifers aus, um es zu mounten.

In den meisten von Sysdig beobachteten Fällen entpackten die Angreifer das Dateisystem auf „/tmp/Proot/“ und aktivierten dann den XMRig-Kryptominer.

„Alle Abhängigkeiten oder Konfigurationen sind ebenfalls im Dateisystem enthalten, sodass der Angreifer keine zusätzlichen Setup-Befehle ausführen muss“, erklärt Sysdig

“Der Angreifer startet PRoot, richtet es auf das entpackte bösartige Dateisystem und gibt die auszuführende XMRig-Binärdatei an.”


Starten von XMRig auf dem Gastdateisystem zum Mining mit der GPU des Hosts (Sysdig)

Wie Sysdig in dem Bericht hervorhebt, könnten die Bedrohungsakteure PRoot problemlos verwenden, um andere Payloads neben XMRig herunterzuladen, was dem angegriffenen System potenziell schwereren Schaden zufügen könnte.

Das Vorhandensein von „mascan“ auf dem bösartigen Dateisystem impliziert eine aggressive Haltung der Angreifer, was wahrscheinlich darauf hindeutet, dass sie planen, andere Systeme von der kompromittierten Maschine aus zu verletzen.

Straffung von Angriffen

Der Missbrauch von PRoot durch Hacker macht diese Post-Exploitation-Angriffe plattform- und verteilungsagnostisch, was die Erfolgschancen und die Heimlichkeit der Bedrohungsakteure erhöht.

Darüber hinaus ermöglichen vorkonfigurierte PRoot-Dateisysteme Angreifern, ein Toolkit für viele Betriebssystemkonfigurationen zu verwenden, ohne ihre Malware auf die Zielarchitektur portieren oder Abhängigkeiten und Build-Tools einbeziehen zu müssen.

„Bei der Verwendung von PRoot gibt es wenig Rücksicht oder Bedenken hinsichtlich der Architektur oder Verteilung des Ziels, da das Tool die Angriffskämpfe glättet, die oft mit der Kompatibilität von ausführbaren Dateien, der Einrichtung der Umgebung und der Ausführung von Malware und/oder Minern verbunden sind“, erklärt Sysdig.

„Es ermöglicht Angreifern, der Philosophie „Einmal schreiben, überall ausführen“ näher zu kommen, die ein lang ersehntes Ziel ist.“

Von PRoot unterstützte Angriffe machen die Einrichtung der Umgebung für die Hacker irrelevant, sodass sie ihre böswilligen Operationen schnell ausweiten können.

 


Quelle: BleepingComputer,

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.