ΑρχικήsecurityΟι χάκερ παραβιάζουν συσκευές Linux χρησιμοποιώντας το εργαλείο PRoot

Οι χάκερ παραβιάζουν συσκευές Linux χρησιμοποιώντας το εργαλείο PRoot

Οι χάκερ κάνουν κατάχρηση του βοηθητικού προγράμματος Linux PRoot ανοιχτού κώδικα σε επιθέσεις BYOF (Bring Your Own Filesystem) για να παρέχουν ένα συνεπές repository κακόβουλων εργαλείων που λειτουργούν σε πολλές διανομές Linux.

Οι επιθέσεις Bring Your Own Filesystem (BYOF) αναφέρονται όταν κακόβουλα άτομα δημιουργούν ένα επιβλαβές σύστημα αρχείων στις προσωπικές τους συσκευές, το οποίο αποθηκεύει εργαλεία που χρησιμοποιούνται συχνά για τη διάπραξη εγκληματικών δραστηριοτήτων.

Μόλις ένας εισβολέας αποκτήσει αυτό το σύστημα αρχείων, το κατεβάζει και το τοποθετεί στα παραβιασμένα μηχανήματά του. Από εκεί και πέρα, οι χάκερ έχουν στη διάθεσή τους ένα προκαθορισμένο σύνολο εργαλείων για να προκαλέσουν ακόμη μεγαλύτερη ζημιά στο σύστημα Linux.

Η Sysdig στο report που δημοσιεύσε είπε ότι αυτές οι επιθέσεις συνήθως καταλήγουν σε cryptocurrency mining, αν και είναι πιθανά πιο επιβλαβή σενάρια.

Οι ερευνητές προειδοποίησαν επίσης για το πόσο εύκολα αυτή η νέα τεχνική θα μπορούσε να χρησιμοποιηθεί για την κλιμάκωση κακόβουλων ενεργειών εναντίον endpoints Linux όλων των ειδών.

linux

Κατάχρηση του utility Linux Proot

Το PRoot είναι ένα ανοιχτού κώδικα utility του Linux που χρησιμοποιεί τα ‘chroot’, ‘mount –bind’ και ‘binfmt_misc’ για να δημιουργήσει ένα απομονωμένο σύστημα αρχείων root.

Από προεπιλογή, οι διεργασίες PRoot είναι απομονωμένες στο σύστημα αρχείων του guest – ωστόσο, η εξομοίωση QEMU μπορεί να χρησιμοποιηθεί για τη μίξη εκτέλεσης προγραμμάτων host και guest.

Οι επιθέσεις που εντοπίστηκαν από την Sysdig χρησιμοποιούν το Proot για να αναπτύξουν ένα κακόβουλο σύστημα αρχείων σε ήδη παραβιασμένα συστήματα που περιλαμβάνουν εργαλεία σάρωσης δικτύου όπως “masscan” και “nmap”, το XMRig cryptominer και τα αρχεία διαμόρφωσής τους.

Το σύστημα αρχείων περιέχει όλα όσα απαιτούνται για την επίθεση, τακτοποιημένα σε ένα συμπιεσμένο με Gzip αρχείο tar με όλα τα απαραίτητα dependencies, που έγινε drop απευθείας από αξιόπιστες υπηρεσίες cloud hosting, όπως το DropBox.

PRoot

Καθώς το Proot είναι στατικά μεταγλωττισμένο και δεν απαιτεί dependencies, οι απειλητικοί παράγοντεςπαράγοντες απειλών απλώς κατεβάζουν το προμεταγλωττισμένο δυαδικό αρχείο από το GitLab και το εκτελούν έναντι του συστήματος αρχείων που έχει ληφθεί και εξάγεται από τον εισβολέα για να το προσαρτήσουν.

Στις περισσότερες περιπτώσεις οι χάκερ αποσυμπιέζουν το σύστημα αρχείων στο ‘/tmp/Proot/’ και στη συνέχεια να ενεργοποιούν το XMRig cryptominer.

Όπως τονίζει η Sysdig στην έκθεση της, οι απειλητικοί φορείς θα μπορούσαν εύκολα να χρησιμοποιήσουν το Proot για να κατεβάσουν άλλα payloads εκτός από το XMRig, προκαλώντας πιθανώς πιο σοβαρή ζημιά στο σύστημα που έχει παραβιαστεί.

Η παρουσία του “mascan” στο κακόβουλο σύστημα αρχείων υποδηλώνει μια επιθετική στάση από τους επιτιθέμενους, υποδηλώνοντας πιθανότατα ότι σχεδιάζουν να παραβιάσουν άλλα συστήματα από το παραβιασμένο μηχάνημα.

Τα συστήματα Linux προσφέρουν στους χρήστες ευελιξία και ευκολία, αλλά συνοδεύονται και από αυξημένο κίνδυνο απειλών για την ασφάλεια στον κυβερνοχώρο, όπως κακόβουλο λογισμικό, επιθέσεις rootkit, επιθέσεις DDoS και έγχυση κακόβουλου κώδικα. Ευτυχώς, υπάρχουν μέτρα που μπορείτε να λάβετε για να προστατευτείτε από αυτές τις απειλές, όπως η ενημέρωση του λογισμικού, η χρήση ισχυρών κωδικών πρόσβασης στους λογαριασμούς που σχετίζονται με το σύστημά σας, η χρήση VPN όταν συνδέεστε εξ αποστάσεως και η εγκατάσταση λογισμικού προστασίας από ιούς στον υπολογιστή σας, εάν είναι απαραίτητο. Ακολουθώντας αυτά τα βήματα θα είστε σε καλό δρόμο προς τη δημιουργία ενός ασφαλούς περιβάλλοντος Linux που είναι λιγότερο ευάλωτο σε επιθέσεις!

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS