PRoot Schwachstelle
Sysdig entdeckt Gefahr für Linux-Distributionen durch Open-Source-Tool PRoot
Kryptomining und die Verbreitung von Malware auf Linux-Distributionen
Das Threat Research Team (TRT) von Sysdig, einem führenden Anbieter von Container- und Cloud-Security, entdeckte, dass Bedrohungsakteure ein Open-Source-Tool namens PRoot nutzen, um den Umfang ihrer Operationen auf mehrere Linux-Distributionen auszudehnen und somit ihre notwendigen eigenen Anstrengungen zu vereinfachen. Normalerweise wird der Umfang eines Angriffs durch die unterschiedlichen Konfigurationen der einzelnen Linux-Distributionen begrenzt. PRoot ist ein Open-Source-Tool, das Angreifern eine einheitliche Betriebsumgebung für verschiedene Linux-Distributionen wie Ubuntu, Fedora und Alpine bietet. PRoot bietet auch Emulationsfunktionen, mit denen sich Malware auf anderen Architekturen, wie beispielsweise ARM, ausführen lässt.
Diese neuartige Technik ermöglicht es Bedrohungsakteuren, Malware, die zuvor für andere Architekturen und Distributionen entwickelt wurde, ohne Kosten und mit geringem Aufwand auf weiteren Zielen auszuführen. Diese Post-Exploitation-Technik, die als Bring Your Own Filesystem (BYOF) bezeichnet wird, wird von den von Sysdig beobachteten Bedrohungsakteuren aktiv genutzt. Sie ist besonders nützlich für Kriminelle bei Zielen, bei denen sie die Umgebung im Vorfeld nicht vollständig kennen oder nicht über die nötigen Ressourcen verfügen, um ihre Tools für den Einsatz in der neuen Umgebung anzupassen.
Michael Clark, Director of Threat Research bei Sysdig , über die Schwachstelle: „Bei den Angriffen, die das Sysdig TRT entdeckte, wurden bösartige Archive auf beliebten Speicherplattformen wie DropBox abgelegt. Sobald die Angreifer Zugang zu ihrem Zielsystem hatten, luden sie ihr bösartiges Dateisystempaket zusammen mit PRoot herunter. Bei der Verwendung von PRoot spielt die Architektur oder Distribution des Ziels kaum eine Rolle, da das Tool die mit der Kompatibilität der ausführbaren Dateien, der Einrichtung der Umgebung und der Ausführung von Malware und/oder Minern verbundenen Probleme des Angriffs ausgleicht. PRoot kann somit für die Bereitstellung einer beliebigen Anzahl von Payloads genutzt werden. Es ermöglicht Angreifern somit enorm große Skalierungsoptionen, nach einer erfolgreichen Infiltration.“
Gegen diese neue Bedrohung gibt es allerdings auch eine klare Sicherheitsstrategie: „Eine Laufzeiterkennungsschicht wie Falco, die dieses Verhalten erkennen kann, ist für die Sicherheitsabläufe in Unternehmen von entscheidender Bedeutung. Stellen Sie sicher, dass Sie diese Art von Bedrohung erkennen können, um das Risiko einer Ausnutzung, durch Cyberkriminelle in Ihrem Netzwerk zu verringern“, erläutert Clark. Bei Falco handelt es sich um einen Open-Source-Agent zur Überwachung von Verhaltensaktivitäten mit nativer Unterstützung für Container. Falco erlaubt die Definition von hochgradig granularen Regeln, um Aktivitäten in Bezug auf Datei- und Netzwerkaktivitäten, Prozessausführung, IPC und vieles mehr zu überprüfen, wobei eine flexible Syntax verwendet wird. Sollten diese definierten Regeln dann gebrochen werden, so informiert Falco die Verantwortlichen. Man kann sich Falco als eine Mischung aus Snort, Ossec und Strace vorstellen.
Über Sysdig
Sysdig treibt den Standard für Cloud- und Containersicherheit voran. Mit unserer Plattform können Sie Software-Schwachstellen finden und priorisieren, Bedrohungen und Anomalien erkennen und darauf reagieren sowie Cloud-Konfigurationen, Berechtigungen und Compliance verwalten. Sie erhalten eine zentrale Ansicht des Risikos vom Sourcecode bis zum Betrieb – ohne blinde Flecken und ohne Blackboxes. Mit Falco haben wir den Open-Source-Standard für Cloud-native Bedrohungserkennung entwickelt. Die größten und innovativsten Unternehmen der Welt vertrauen auf Sysdig