LES HACKERS S’ATTAQUENT AUX APPAREILS LINUX EN LES DÉTOURNANT AVEC DES SYSTÈMES DE FICHIERS ISOLÉS À L’AIDE DE PROOT

Posté le décembre 7, 2022 à 6:59

LES HACKERS S’ATTAQUENT AUX APPAREILS LINUX EN LES DÉTOURNANT AVEC DES SYSTÈMES DE FICHIERS ISOLÉS À L’AIDE DE PROOT

Récemment, les criminels en ligne ont commencé à abuser du système d’exploitation open-source Linux, ou plutôt de son utilitaire PRoot. Les hackers ont commencé à réaliser des tacos sur Bring Your Own Filesystem (BYOF), ce qui leur a permis de fournir un référentiel cohérent d’outils malveillants pouvant être utilisés sur de nombreuses distributions Linux.

Essentiellement, l’attaque BYOF permet aux cybercriminels de créer des systèmes de fichiers malveillants sur leurs propres appareils. Les systèmes de fichiers sont créés avec tous les outils standards utilisés pour mener des attaques, et ils sont ensuite téléchargés sur des appareils Linux, où ils sont également montés, ce qui compromet la machine.

En plus de cela, le système de fichiers utilise des boîtes à outils préconfigurées pour compromettre le système encore plus en profondeur, en prenant essentiellement le contrôle de l’appareil entièrement. Un rapport de Sysdig a décrit ce détournement de Linux, ajoutant que les acteurs de la menace ont construit des systèmes de fichiers pour avoir tout ce dont ils pourraient avoir besoin pour que leur opération réussisse.

Ce qui est curieux, c’est que les hackers ont apparemment fait beaucoup de préparation en amont, ce qui permet à tous les outils d’être rapidement téléchargés, configurés et/ou installés sur leurs propres systèmes, où aucun outil de détection ne peut les enregistrer.

Habituellement, ces attaques sont menées dans le but de détourner des machines et de les utiliser pour le minage de cryptomonnaies, bien que ce ne soit qu’une des utilisations potentielles. En fait, les utiliser pour miner des cryptomonnaies serait l’un des scénarios les moins dangereux. Cela étant, les chercheurs de Sysdig ont averti qu’il est très facile d’utiliser cette nouvelle méthode pour mettre à l’échelle des opérations malveillantes contre des points d’extrémité Linux.

Comment se déroule l’attaque ?

Comme nous l’avons mentionné, les hackers mènent une attaque qui utilise l’utilitaire Linux PRoot. PRoot est un utilitaire open-source qui combine plusieurs commandes, notamment « mount – bind », « chroot » et « binfmt_mise ». Ce faisant, il permet aux utilisateurs de créer des systèmes de fichiers racine isolés sur un périphérique utilisant le système d’exploitation Linux.

Les processus PRoot sont configurés pour être confinés dans le système de fichiers invité par défaut. Mais l’émulation QEMU peut être utilisée pour changer les choses et mélanger les exécutions de programmes invités et hôtes. De plus, les programmes du système de fichiers invité peuvent également utiliser le mécanisme de montage et de liaison, qui est intégré au système. Cela lui permet d’accéder aux fichiers et aux répertoires depuis n’importe quelle partie du système hôte.

Le rapport de Sysdig indique que les attaques observées utilisent PRoot pour déployer des systèmes de fichiers malveillants sur des systèmes déjà compromis. Ces réseaux disposent d’outils d’analyse comme nmap et masscan, du cryptomineur XMRig, ainsi que de fichiers de configuration. En d’autres termes, tout ce qui est nécessaire pour mener une attaque réussie est déjà inclus, le tout soigneusement mis dans un fichier compressé par Gzip, puis déposé depuis des services d’hébergement en nuage de confiance, comme DropBox.

PRoot ne nécessite pas de dépendances, et il est statistiquement conforme. Les acteurs de la menace doivent donc simplement télécharger le binaire précompilé depuis GitLab et l’exécuter contre le système de fichiers téléchargé et extrait. C’est tout ce qui est nécessaire pour qu’il soit monté. Selon Sysdig, les attaquants décompressent le système de fichiers sur ‘/tmp/Proot/’ dans la majorité des cas, ce qui est ensuite suivi par l’activation du cryptomineur XMRig.

Le rapport explique que le système de fichiers inclut également toutes les dépendances ou configurations nécessaires, de sorte qu’il n’est pas nécessaire d’exécuter des commandes d’installation supplémentaires. Dans la suite, Sysdig ajoute que l’attaquant lance PRoot, le dirige vers le système de fichiers décompressé et spécifie le binaire XMRig à exécuter.

Enfin, Sysdig a particulièrement souligné que les attaquants peuvent facilement utiliser PRoot pour télécharger de nombreuses autres charges utiles, de sorte que le système piraté peut subir beaucoup plus de dommages que la simple utilisation de XMRig.

Une autre conséquence de l’abus de PRoot est que les plateformes permettent aux acteurs de la menace de devenir beaucoup plus furtifs et d’augmenter leurs chances de réussite après l’exploitation, ce qui mérite également d’être souligné. En outre, les systèmes de fichiers PRoot préconfigurés permettent aux hackers d’utiliser des boîtes à outils dans de nombreuses configurations de systèmes d’exploitation sans même avoir besoin de porter leurs logiciels malveillants sur l’architecture qu’ils ciblent.

En d’autres termes, ceux qui utilisent PRoot se soucient peu de l’architecture de la cible, ou de la distribution, car l’outil lèvera toutes les difficultés liées à l’attaque auxquelles les attaquants devraient faire face autrement.

Summary
LES HACKERS S'ATTAQUENT AUX APPAREILS LINUX EN LES DÉTOURNANT AVEC DES SYSTÈMES DE FICHIERS ISOLÉS À L'AIDE DE PROOT
Article Name
LES HACKERS S'ATTAQUENT AUX APPAREILS LINUX EN LES DÉTOURNANT AVEC DES SYSTÈMES DE FICHIERS ISOLÉS À L'AIDE DE PROOT
Description
Récemment, les criminels en ligne ont commencé à abuser du système d'exploitation open-source Linux, ou plutôt de son utilitaire PRoot. Les hackers ont commencé à réaliser des tacos sur Bring Your Own Filesystem (BYOF), ce qui leur a permis de fournir un référentiel cohérent d'outils malveillants pouvant être utilisés sur de nombreuses distributions Linux.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading