รายงานฉบับใหม่ได้เน้นข้อเท็จจริงที่ว่าแฮ็กเกอร์บางคนไม่สนใจที่จะติดตั้งมัลแวร์หรือไวรัสบนอุปกรณ์เป้าหมาย แต่พยายามที่จะนำชุดเครื่องมือทั้งหมดของพวกเขาไปยังอุปกรณ์ของเหยื่อแทน ซึ่งจะช่วยให้พวกเขาเลือกเครื่องมือที่เป็นอันตรายที่ดีที่สุดสำหรับแต่ละอุปกรณ์ . รายบุคคล. จุดมุ่งหมาย.
การวิจัยของ Sysdig ซึ่งเรียกวิธีการนี้ว่า "Bring Your Own Filesystem" หรือเรียกสั้นๆ ว่า BYOF พบว่าวิธีการนี้ใช้ได้ผลกับอุปกรณ์ Linux ด้วยยูทิลิตี้ที่มีช่องโหว่ที่เรียกว่า PRoot
จากข้อมูลของ Sysdig ผู้คุกคามจะสร้างระบบไฟล์ที่เป็นอันตรายทั้งหมดบนอุปกรณ์ของพวกเขาเอง จากนั้นดาวน์โหลดและติดตั้งบนจุดสิ้นสุดที่ถูกบุกรุก ด้วยวิธีนี้ พวกเขาได้รับชุดเครื่องมือที่กำหนดค่าไว้ล่วงหน้าซึ่งช่วยให้พวกเขาประนีประนอมระบบ Linux ได้มากขึ้น
การติดตั้ง cryptojackers
“ประการแรก ผู้คุกคามสร้างระบบไฟล์ที่เป็นอันตรายซึ่งจะถูกนำไปใช้ ระบบไฟล์ที่เป็นอันตรายนี้มีทุกสิ่งที่จำเป็นในการดำเนินการเพื่อให้ประสบความสำเร็จ” Sysdig กล่าวในรายงาน "การเตรียมการนี้ในขั้นเริ่มต้นทำให้เครื่องมือทั้งหมดสามารถดาวน์โหลด กำหนดค่า หรือติดตั้งบนระบบของผู้โจมตีได้ โดยห่างจากสายตาที่สอดรู้สอดเห็นของเครื่องมือตรวจจับ"
แม้ว่าจนถึงขณะนี้ บริษัทซอฟต์แวร์ได้พิจารณาเฉพาะวิธีที่ใช้ในการติดตั้งเครื่องขุด cryptocurrency บนอุปกรณ์เหล่านี้ แต่กล่าวว่ามีศักยภาพสำหรับการโจมตีที่ก่อกวนและสร้างความเสียหายมากขึ้น
PRoot เป็นเครื่องมือยูทิลิตี้ที่ช่วยให้ผู้ใช้สร้างระบบไฟล์รูทแยกบน Linux แม้ว่าเครื่องมือจะได้รับการออกแบบมาเพื่อให้กระบวนการทั้งหมดทำงานในระบบไฟล์เกสต์ แต่ก็มีวิธีผสมโปรแกรมโฮสต์และโปรแกรมเกสต์ ซึ่งผู้คุกคามใช้ในทางที่ผิด นอกจากนี้ โปรแกรมที่ทำงานบนระบบไฟล์เกสต์สามารถใช้กลไกการเมาต์/การโยงในตัวเพื่อเข้าถึงไฟล์และไดเร็กทอรีบนระบบโฮสต์
เห็นได้ชัดว่าการใช้ PRoot ในทางที่ผิดเพื่อแพร่กระจายมัลแวร์นั้นค่อนข้างง่าย เนื่องจากเครื่องมือได้รับการคอมไพล์แบบสแตติกและไม่ต้องการการพึ่งพาเพิ่มเติม แฮ็กเกอร์ทั้งหมดต้องทำคือดาวน์โหลดไบนารีที่บรรจุล่วงหน้าจาก GitLab และติดตั้งบนปลายทางเป้าหมาย
"การพึ่งพาหรือการกำหนดค่าใดๆ จะรวมอยู่ในระบบไฟล์ด้วย ดังนั้นผู้โจมตีจึงไม่จำเป็นต้องรันคำสั่งการกำหนดค่าเพิ่มเติมใดๆ" Sysdig อธิบาย "ผู้โจมตีเรียกใช้ PRoot ชี้ไปยังระบบไฟล์ที่ไม่คลายแพ็กที่เป็นอันตราย และระบุไบนารี XMRig ที่จะเรียกใช้"
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)