Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Новый способ атаки на Linux позволяет загрузить уже готовый репозиторий в систему

06/12/22

Linux vulnerability3-Dec-06-2022-11-22-10-4496-AM

Исследователи Sysdig обнаружили , что хакеры используют open-source утилиту Linux PRoot в атаках BYOF (BRYOF-атака, Bring Your Own Filesystem), чтобы обеспечить согласованный репозиторий вредоносных инструментов, которые работают во многих дистрибутивах Linux.

PRoot — это утилита с открытым исходным кодом, которая позволяет пользователю настроить изолированную корневую файловую систему в Linux, поясняет Securitylab. В обнаруженных атаках хакер использует PRoot для развертывания вредоносной файловой системы на уже скомпрометированных системах, которые включают инструменты сетевого сканирования - «masscan» и «nmap», криптомайнер XMRig и их файлы конфигурации.

Файловая система содержит все необходимое для атаки, аккуратно упакованное в сжатый Gzip tar-файл со всеми необходимыми зависимостями, загруженный из доверенных служб облачного хостинга, таких как DropBox.

Поскольку PRoot компилируется статически и не требует никаких зависимостей, злоумышленник просто загружает предварительно скомпилированный двоичный файл из GitLab и монтирует его в загруженной и извлеченной файловой системе. В большинстве случаев киберпреступники распаковывали файловую систему в «/tmp/Proot/», а затем активировали криптомайнер XMRig.

По словам исследователей, хакер может использовать PRoot для загрузки других полезных нагрузок помимо XMRig, что потенциально может нанести более серьезный ущерб взломанной системе. Наличие «masscan» в файловой системе вредоносного ПО указывает на то, что хакеры планируют взломать также и другие системы на взломанной машине.

Использование утилиты PRoot делает эти атаки независимыми от платформы и распространения, что делает их более эффективными и незаметными. Кроме того, предварительно настроенная файловая система PRoot позволяет киберпреступнику использовать набор инструментов во многих конфигурациях ОС без необходимости переноса своих вредоносных программ на целевую архитектуру или включения зависимостей и инструментов сборки.

Атаки с использованием PRoot позволяет злоумышленнику не думать об архитектуре или дистрибутиве цели, поскольку этот инструмент устраняет проблемы с совместимостью исполняемых файлов, настройкой среды и выполнением вредоносных программ. Такие атаки убирают необходимость настройки среды, и позволяют хакеру быстро масштабировать свои вредоносные кампании.

Темы:LinuxПреступленияКиберугрозыSysdigBring Your Own Filesystem
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...