Hackers están secuestrando dispositivos Linux utilizando sistemas de archivos aislados PRoot
Hackers están abusando de la utilidad de código abierto de Linux PRoot en ataques BYOF (Bring Your Own Filesystem) para proporcionar un repositorio consistente de herramientas maliciosas que funcionan en muchas distribuciones de Linux.
Un ataque Bring Your Own Filesystem (Traiga su propio sistema de archivos) ocurre cuando los ciberdelincuentes crean un sistema de archivos malicioso en sus propios dispositivos. Estos contienen un conjunto estándar de herramientas utilizadas para realizar ataques.
Luego, este sistema de archivos se descarga y se monta en máquinas comprometidas. Es decir, proporciona un conjunto de herramientas preconfiguradas que se pueden usar para comprometer aún más un sistema Linux.
“Primero, los ciberdelincuentes crean un sistema de archivos malicioso que se implementará. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito”.
“Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante, lejos de las miradas indiscretas de las herramientas de detección”.
Explicación en un nuevo informe de Sysdig
Sysdig dice que los ataques generalmente conducen a la minería de criptomonedas, aunque son posibles escenarios más dañinos.
Los investigadores también advierten sobre lo fácil que esta técnica novedosa podría hacer escalar operaciones maliciosas contra puntos finales de Linux de todo tipo.
Abusando de la utilidad PRoot de Linux
PRoot es una utilidad de código abierto que combina los comandos ‘chroot
‘, ‘mount --bind
‘ y ‘binfmt_misc
‘. Esto permite a los usuarios configurar un sistema de archivos root aislado dentro de Linux.
Esto significa que los usuarios no necesitan ningún privilegio o configuración para hacer cosas como usar un directorio arbitrario como el nuevo sistema de archivos root, hacer que los archivos sean accesibles en otro lugar de la jerarquía del sistema de archivos o ejecutar programas creados para otra arquitectura.
PRoot se basa en dos elementos:
- PTRACE: una llamada al sistema sin privilegios generalmente disponible en las distribuciones de Linux que puede monitorear, controlar y manipular otros procesos.
- QEMU: una herramienta que puede emular programas creados para diferentes arquitecturas a través de la ejecución binaria dinámica; una abreviatura de Quick EMUlation.
PRoot combina comandos como chmod, mounty binfmt_misc para aislar completamente el nuevo sistema de archivos del host, definiendo lo que podemos llamar un sistema de archivos invitado . En este sistema de archivos invitado, es posible ejecutar trabajos personalizados, mezclar programas creados para diferentes arquitecturas y utilizar los recursos del host de forma transparente.
De forma predeterminada, los procesos PRoot están confinados dentro del sistema de archivos invitado. Sin embargo, la emulación QEMU se puede usar para combinar la ejecución de programas host e invitados.
Además, los programas del sistema de archivos invitado pueden usar el mecanismo incorporado de montaje/enlace para acceder a archivos y directorios desde el sistema anfitrión.
Ataque
Los ataques vistos por Sysdig usan PRoot para implementar un sistema de archivos malicioso en sistemas ya comprometidos que incluyen herramientas de escaneo de red como “masscan” y “nmap“, el criptominero XMRig y sus archivos de configuración.
El sistema de archivos contiene todo lo necesario para el ataque, perfectamente empaquetado en un archivo tar comprimido con Gzip con todas las dependencias necesarias. Además, puede ser descargado directamente desde servicios de alojamiento en la nube de confianza como DropBox.
Como PRoot se compila estáticamente y no requiere ninguna dependencia, los ciberdelincuentes simplemente descargan el binario precompilado de GitLab y lo ejecutan contra el sistema de archivos descargado y extraído del atacante para montarlo.
En la mayoría de los casos vistos por Sysdig, los atacantes desempaquetaron el sistema de archivos en ‘/tmp/Proot/’ y luego activaron el criptominero XMRig.
Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional.
“El atacante inicia PRoot, apunta al sistema de archivos malicioso desempaquetado y especifica el binario XMRig para ejecutar”.
Sysdig
Como destaca Sysdig en el informe, los atacantes podrían usar fácilmente PRoot para descargar otros payloads además de XMRig. En otras palabras, esto podría causar daños más graves al sistema vulnerado.
La presencia de “mascan” en el sistema de archivos malicioso implica una postura agresiva por parte de los atacantes, lo que probablemente indica que planean vulnerar otros sistemas desde la máquina comprometida.
Simplificación de ataques
El abuso de PRoot por parte de los hackers hace que estos ataques posteriores a la explotación sean independientes de la plataforma y la distribución. Esto aumenta las posibilidades de éxito y el sigilo de los atacantes.
Además, los sistemas de archivos PRoot preconfigurados permiten a los atacantes usar un conjunto de herramientas en muchas configuraciones de sistemas operativos sin tener que trasladar su malware a la arquitectura de destino o incluir dependencias y herramientas de compilación.
Con PRoot, hay poca consideración o preocupación por la arquitectura o distribución del objetivo. Esto porque la herramienta facilita los problemas de ataque que a menudo se asocian con la compatibilidad de ejecutables, la configuración del entorno y la ejecución de malware y/o mineros.
“Permite a los atacantes acercarse a la filosofía de ‘escribir una vez, ejecutar en todas partes’, que es un objetivo buscado durante mucho tiempo”.
Los ataques respaldados por PRoot hacen que la configuración del entorno sea irrelevante para los hackers, lo que les permite escalar rápidamente sus operaciones maliciosas.
Conclusión
Las técnicas y rutas posteriores a la explotación de los atacantes siempre están mejorando y evolucionando para evadir la detección durante las fases de configuración y ejecución en el entorno de las víctimas.
El descubrimiento de PRoot que permite a los atacantes eludir las herramientas de un sistema de destino y omitir la configuración y ejecución del entorno es una opción poderosa para la evasión de la defensa.