Los hackers están abusando de la utilidad de código abierto Linux PRoot en ataques BYOF (Bring Your Own Filesystem) para proporcionar un repositorio consistente de herramientas maliciosas que funcionan en muchas distribuciones de Linux.
Un ataque BYOF (Bring Your Own Filesystem) se produce cuando los autores de la amenaza crean un sistema de archivos malicioso en sus propios dispositivos que contiene un conjunto estándar de herramientas utilizadas para realizar ataques.
Este sistema de archivos se descarga y se monta en las máquinas comprometidas, proporcionando un conjunto de herramientas preconfiguradas que pueden utilizarse para comprometer aún más un sistema Linux.
"En primer lugar, los actores de la amenaza construyen un sistema de archivos malicioso que será desplegado. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito", explica un nuevo informe de Sysdig.
"Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante, lejos de las miradas indiscretas de las herramientas de detección".
Sysdig dice que los ataques suelen conducir a la minería de criptomoneda, aunque son posibles escenarios más dañinos. Los investigadores también advierten de lo fácil que esta novedosa técnica podría hacer escalar las operaciones maliciosas contra puntos finales Linux de todo tipo.
Abuso de la utilidad PRoot de Linux
PRoot es una utilidad de código abierto que combina los comandos 'chroot', 'mount --bind' y 'binfmt_misc', permitiendo a los usuarios configurar un sistema de archivos raíz aislado dentro de Linux.
Por defecto, los procesos PRoot están confinados dentro del sistema de archivos huésped; sin embargo, se puede utilizar la emulación QEMU para mezclar la ejecución de programas huésped y anfitrión.
Además, los programas del sistema de archivos huésped pueden utilizar el mecanismo mount/bind incorporado para acceder a archivos y directorios del sistema anfitrión.
Los ataques vistos por Sysdig utilizan PRoot para desplegar un sistema de archivos malicioso en sistemas ya comprometidos que incluyen herramientas de escaneo de red como "masscan" y "nmap", el cryptominer XMRig y sus archivos de configuración.
El sistema de archivos contiene todo lo necesario para el ataque, perfectamente empaquetado en un archivo tar comprimido con Gzip con todas las dependencias necesarias, descargado directamente de servicios de alojamiento en la nube de confianza como DropBox.
Como PRoot se compila estáticamente y no requiere dependencias, los actores de amenazas simplemente descargan el binario precompilado de GitLab, y lo ejecutan contra el sistema de archivos descargado y extraído por el atacante para montarlo.
En la mayoría de los casos vistos por Sysdig, los atacantes descomprimían el sistema de archivos en '/tmp/Proot/' y luego activaban el cryptominer XMRig.
"Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional", explica Sysdig
"El atacante lanza PRoot, lo apunta al sistema de archivos malicioso desempaquetado y especifica el binario XMRig a ejecutar". Como destaca Sysdig en el informe, los autores de la amenaza podrían utilizar PRoot para descargar otras cargas útiles además de XMRig, lo que podría causar daños más graves en el sistema infectado.
La presencia de "mascan" en el sistema de archivos malicioso implica una actitud agresiva por parte de los atacantes, lo que probablemente indica que planean acceder a otros sistemas desde la máquina comprometida.
Racionalización de los ataques
El uso abusivo de PRoot por parte de los hackers hace que estos ataques posteriores a la explotación sean independientes de la plataforma y la distribución, lo que aumenta las posibilidades de éxito y el sigilo de los actores de la amenaza.
Además, los sistemas de archivos PRoot preconfigurados permiten a los agresores utilizar un conjunto de herramientas en muchas configuraciones de sistemas operativos sin tener que adaptar su malware a la arquitectura objetivo o incluir dependencias y herramientas de compilación.
"Con PRoot, no hay que preocuparse por la arquitectura o distribución del objetivo, ya que la herramienta suaviza los problemas de ataque asociados a menudo con la compatibilidad del ejecutable, la configuración del entorno y la ejecución del malware o minero", explica Sysdig.
"Permite a los atacantes acercarse a la filosofía de "escribir una vez, ejecutar en todas partes", que es un objetivo largamente buscado".
Los ataques respaldados por PRoot hacen que la configuración del entorno sea irrelevante para los hackers, lo que les permite escalar sus operaciones maliciosas rápidamente.
Fuente: somoslibres
