Утилита Linux с открытым исходным кодом используется для взлома устройств
Утилита Linux с открытым исходным кодом используется для взлома устройств. Фото: СС0
В компании Sysdig, сотрудники которого проводили исследование, называют этот метод «Принеси свою собственную файловую систему» или сокращенно BYOF. Пока он работает на устройствах Linux благодаря уязвимой утилите PRoot.
Как утверждают специалисты по безопасности, злоумышленники создавали целую вредоносную файловую систему на своих устройствах, а затем загружали и монтировали ее на скомпрометированной конечной точке. Таким образом, они получают предварительно сконфигурированный набор инструментов, помогающий им еще больше скомпрометировать системы Linux.
Из сообщения компании:
«Во-первых, злоумышленники создают вредоносную файловую систему, которая будет развернута. Эта вредоносная файловая система включает в себя все, что необходимо для успешной операции. Выполнение этой подготовки на этом раннем этапе позволяет загрузить, настроить или установить все инструменты в собственной системе злоумышленника незаметно от инструментов обнаружения».
Хотя до сих пор специалисты пока только наблюдали за методом, используемым, преимущественно, для установки майнеров криптовалюты, они говорит, что существует потенциал для более разрушительных атак.
PRoot — это утилита, которая позволяет пользователям создавать изолированные корневые файловые системы в Linux. Хотя инструмент предназначен для запуска всех процессов в гостевой файловой системе, существуют способы смешивания хост- и гостевых программ. Этим и злоупотребляют злоумышленники.
Кроме того, программы, работающие в гостевой файловой системе, могут использовать встроенный механизм монтирования/связывания для доступа к файлам и каталогам из хост-системы.
Судя по всему, использовать PRoot для доставки вредоносных программ относительно легко, так как инструмент статически скомпилирован и не требует дополнительных зависимостей. Все, что нужно сделать хакерам, — это загрузить предварительно объединенный двоичный файл с GitLab и смонтировать его на целевой конечной точке.
Из сообщения компании:
«Любые зависимости или конфигурации также включены в файловую систему, поэтому злоумышленнику не нужно запускать какие-либо дополнительные команды настройки. Злоумышленник запускает PRoot, указывает на распакованную вредоносную файловую систему и указывает исполняемый файл XMRig для выполнения».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было