PRoot 漏洞可劫持 Linux 设备

　　攻击者利用 PRoot 隔离文件系统漏洞可劫持 Linux 设备。

　　BYOF ( Bring Your Own Filesystem ) 攻击是指攻击者在其自有的设备上创建一个恶意文件系统，而该设备上含有用于发起攻击活动的标准工具集。然后将该文件系统下载和挂载到被入侵的机器上，为下一步入侵 Linux 系统提供一个预配置的工具集。

　　PRoot 是一款 Linux 开源工具，融合了 'chroot'、'mount --bind'、'binfmt_misc' 命令，允许用户在 Linux 系统中搭建一个隔离的 root 文件系统。近日，Sysdig 研究人员发现有黑客滥用 Linux PRoot 工具来发起 BYOF 攻击活动，影响多个 Linux 发行版。

　　默认情况下，PRoot 进程活动范围局限在隔离的 guest 文件系统中。但 QEMU 模拟可以用来混合 host 主机和 guest 程序的执行。此外，guest 文件系统中的程序也可以使用内置的 mount/bind 机制来访问 host 系统的文件和目录。

　　Sysdig 研究人员发现攻击者利用 PRoot 在受害者系统中部署恶意文件系统，包括网络扫描工具 "masscan"、"nmap"，以及 XMRig 加密货币挖矿机以及对应的配置文件。

　　文件系统中包含了用于攻击的所有内容，类似于一个包含了必要依赖的 GZIP 压缩文件，从 DropBox 这样的可信云托管服务直接释放。由于包含了所有的依赖，因此无需执行额外的配置命令。

　　由于 PRoot 是静态编译的，不需要任何依赖，攻击者只需要从 gitlab 下载预编译的二进制文件，执行下载的文件提取出文件系统，并挂载到系统上就可以。

　　研究人员发现在攻击活动中，攻击者将文件系统解压到 '/tmp/Proot/' 目录，然后激活 XMRig 加密货币挖矿机。

　　Sysdig 指出，攻击者通过 PRoot 可以下载除 XMRig 加密货币挖矿机之外的其他 payload，对被入侵的系统引发更加严重的后果。

　　攻击者通过使用预配置的 PRoot 文件系统可以实现跨操作系统配置，而无需将恶意软件修改为特定架构，也无需包含特定依赖和工具。

免责声明：本网转载或编译文章原文均来自网络，不代表本网观点或证实其内容的真实性。若有来源标注错误或涉及文章版权问题，请与本网联系，本网将及时更正、删除，谢谢。如需转载时请以链接形式注明文章出处：http://www.jywlcm.com/379.html