BYOF (Bring Your Own Filesystem)攻擊是指攻擊者在其自有的設備上創建一個惡意文件系統,而該設備上含有用于發起攻擊活動的標準工具集。然后將該文件系統下載和掛載到被入侵的機器上,為下一步入侵linux系統提供一個預配置的工具集。
PRoot是一款Linux 開源工具,融合了'chroot'、'mount --bind'、'binfmt_misc'命令,允許用戶在Linux系統中搭建一個隔離的root文件系統。近日,Sysdig研究人員發現有黑客濫用Linux PRoot工具來發起BYOF攻擊活動,影響多個Linux發行版。
默認情況下,PRoot進程活動范圍局限在隔離的guest文件系統中。但QEMU模擬可以用來混合host主機和guest程序的執行。此外,guest文件系統中的程序也可以使用內置的mount/bind機制來訪問host系統的文件和目錄。
Sysdig研究人員發現攻擊者利用PRoot在受害者系統中部署惡意文件系統,包括網絡掃描工具"masscan"、"nmap",以及XMRig加密貨幣挖礦機以及對應的配置文件。
文件系統中包含了用于攻擊的所有內容,類似于一個包含了必要依賴的GZIP壓縮文件,從DropBox這樣的可信云托管服務直接釋放。由于包含了所有的依賴,因此無需執行額外的配置命令。
圖 惡意guest文件系統
由于PRoot 是靜態編譯的,不需要任何依賴,攻擊者只需要從gitlab下載預編譯的二進制文件,執行下載的文件提取出文件系統,并掛載到系統上就可以。
研究人員發現在攻擊活動中,攻擊者將文件系統解壓到'/tmp/Proot/' 目錄,然后激活XMRig 加密貨幣挖礦機。
圖 使用host CPU在guest文件系統上啟動XMRig加密貨幣挖礦機
Sysdig指出,攻擊者通過PRoot可以下載除XMRig 加密貨幣挖礦機之外的其他payload,對被入侵的系統引發更加嚴重的后果。
攻擊者通過使用預配置的PRoot 文件系統可以實現跨操作系統配置,而無需將惡意軟件修改為特定架構,也無需包含特定依賴和工具。
更多技術分析參見:https://sysdig.com/blog/proot-post-explotation-cryptomining/
參考及來源:https://www.bleepingcomputer.com/news/security/hackers-hijack-linux-devices-using-proot-isolated-filesystems/
