В новом отчете подчеркивается тот факт, что некоторые хакеры не заинтересованы в установке вредоносных программ или вирусов на целевые устройства, а вместо этого стремятся перенести весь свой набор инструментов на устройство жертвы, что поможет им выбрать лучший вредоносный инструмент для каждого из них. индивидуальный. цель.
Исследование Sysdig, которое называет этот метод «Принеси свою собственную файловую систему», или сокращенно BYOF, показало, что этот метод до сих пор работал на устройствах Linux благодаря уязвимой утилите под названием PROot.
По данным Sysdig, злоумышленники создают целую вредоносную файловую систему на своих устройствах, а затем загружают и монтируют ее на скомпрометированной конечной точке. Таким образом, они получают предварительно настроенный набор инструментов, который помогает им в дальнейшем компрометировать системы Linux.
Установка криптоджекеров
«Во-первых, злоумышленники создают вредоносную файловую систему для развертывания. Эта вредоносная файловая система включает в себя все, что необходимо для успешной операции», — говорится в отчете Sysdig. «Выполнение этой подготовки на этой ранней стадии позволяет загрузить, настроить или установить все инструменты в собственной системе злоумышленника вдали от любопытных глаз средств обнаружения».
Хотя компания-разработчик программного обеспечения пока рассмотрела только метод, используемый для установки майнеров криптовалюты на эти устройства, она заявляет, что существует вероятность более разрушительных и разрушительных атак.
PROot — это служебный инструмент, который позволяет пользователям создавать изолированные корневые файловые системы в Linux. Хотя инструмент спроектирован так, что все процессы выполняются в гостевой файловой системе, существуют способы смешивать хостовые и гостевые программы, которыми злоупотребляют злоумышленники. Кроме того, программы, работающие в гостевой файловой системе, могут использовать встроенный механизм монтирования/привязки для доступа к файлам и каталогам в хост-системе.
Судя по всему, злоупотребить PROot для распространения вредоносного ПО относительно легко, поскольку инструмент статически скомпилирован и не требует дополнительных зависимостей. Все, что нужно сделать хакерам, — это загрузить предварительно упакованный двоичный файл с GitLab и смонтировать его на целевой конечной точке.
«Любые зависимости или конфигурации также включены в файловую систему, поэтому злоумышленнику не нужно запускать какие-либо дополнительные команды настройки», — объясняет Sysdig. «Злоумышленник запускает PROot, указывает ему на разархивированную вредоносную файловую систему и указывает для выполнения двоичный файл XMRig».
Через: BleepingComputer (открывается в новой вкладке)