PRoot漏洞可劫持Linux设备
2022-12-17 12:1:39 Author: 嘶吼专业版(查看原文) 阅读量:12 收藏

攻击者利用 PRoot隔离文件系统漏洞可劫持Linux设备。

BYOF (Bring Your Own Filesystem)攻击是指攻击者在其自有的设备上创建一个恶意文件系统,而该设备上含有用于发起攻击活动的标准工具集。然后将该文件系统下载和挂载到被入侵的机器上,为下一步入侵Linux系统提供一个预配置的工具集。

PRoot是一款Linux 开源工具,融合了'chroot'、'mount --bind'、'binfmt_misc'命令,允许用户在Linux系统中搭建一个隔离的root文件系统。近日,Sysdig研究人员发现有黑客滥用Linux PRoot工具来发起BYOF攻击活动,影响多个Linux发行版。

默认情况下,PRoot进程活动范围局限在隔离的guest文件系统中。但QEMU模拟可以用来混合host主机和guest程序的执行。此外,guest文件系统中的程序也可以使用内置的mount/bind机制来访问host系统的文件和目录。

Sysdig研究人员发现攻击者利用PRoot在受害者系统中部署恶意文件系统,包括网络扫描工具"masscan"、"nmap",以及XMRig加密货币挖矿机以及对应的配置文件。

文件系统中包含了用于攻击的所有内容,类似于一个包含了必要依赖的GZIP压缩文件,从DropBox这样的可信云托管服务直接释放。由于包含了所有的依赖,因此无需执行额外的配置命令。

图 恶意guest文件系统

由于PRoot 是静态编译的,不需要任何依赖,攻击者只需要从gitlab下载预编译的二进制文件,执行下载的文件提取出文件系统,并挂载到系统上就可以。

研究人员发现在攻击活动中,攻击者将文件系统解压到'/tmp/Proot/' 目录,然后激活XMRig 加密货币挖矿机。

图 使用host CPU在guest文件系统上启动XMRig加密货币挖矿机

Sysdig指出,攻击者通过PRoot可以下载除XMRig 加密货币挖矿机之外的其他payload,对被入侵的系统引发更加严重的后果。

攻击者通过使用预配置的PRoot 文件系统可以实现跨操作系统配置,而无需将恶意软件修改为特定架构,也无需包含特定依赖和工具。

更多技术分析参见:https://sysdig.com/blog/proot-post-explotation-cryptomining/

参考及来源:https://www.bleepingcomputer.com/news/security/hackers-hijack-linux-devices-using-proot-isolated-filesystems/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247555209&idx=1&sn=338b3be32fd2cbd784d9db5af8bcd7a3&chksm=e915c8b3de6241a518dbe52cd1e615ad209445200a3b00de9f6a8f24bf429f44a5063585d866#rd
如有侵权请联系:admin#unsafe.sh