威胁行为者使用恶意文件系统来扩展加密挖掘操作

已经观察到威胁行为者使用一种名为PRoot的开源工具，将其操作范围扩大到几个Linux发行版。Sysdig威胁研究小组(TRT)发现了这种技术，并在本周早些时候解释了为什么这种技术特别危险。

该公司在周一发布的一份咨询报告中写道:“通常情况下，攻击的范围受到每种Linux发行版不同配置的限制。”

PRoot是一种开源工具，它为攻击者提供了跨不同Linux发行版(如Ubuntu、Fedora和Alpine)的一致操作环境。PRoot还提供仿真功能，允许在其他架构上构建恶意软件运行。

Sysdig将这种类型的攻击称为自带文件系统(BYOF)，并表示当威胁参与者在攻击前可能不完全了解环境或在操作中更换工具所需的资源时，这对他们是有益的。

在描述这种方法时，Sysdig团队表示，威胁行为者通常会构建一个恶意文件系统，其中包括攻击成功所需的一切，包括下载、配置和安装操作的说明。

该建议写道：“使用PRoot，很少考虑或关注目标的架构或分布，因为该工具消除了通常与可执行兼容性、环境设置、恶意软件和矿工执行相关的攻击斗争。它让攻击者更接近编写一次，到处运行的理念，这是一个长期追求的目标。”

此外，由于PRoot是静态编译的，它不需要额外的外部文件或库。这使得攻击者很容易在他们的工具链中使用它。可执行文件可能会被UPX(可执行文件终极封装器)或其他混淆工具打包，以逃避检测。

据Sysdig称，攻击路径也被简化了。在评估中，该团队观察到，使用这种技术的威胁行为者只需要完成几个命令就可以部署到受害者系统，然后运行有效载荷。

至于网络安全专家观察到的攻击类型，Sysdig调查了XMRig加密矿工。在这些加密挖掘操作中，XMRig存储在恶意文件系统中，可以很容易地启动。

任何依赖项或配置也包含在文件系统中，因此攻击者不需要运行任何额外的安装命令。攻击者启动PRoot，将其指向未打包的恶意文件系统，并指定要执行的XMRig二进制文件。

为了应对这些BYOF威胁，Sysdig威胁研究团队创建了规则(在咨询中可用)，可以使用Falco检测PRoot工具的使用情况。

就在几个月前，Check Point Research (CPR)在7月份将XMRig列为使用最广泛的第三大恶意软件。