Securitybedrijf Sysdig waarschuwt voor BYOF-aanvallen op Linux-systemen. Cybercriminelen gebruiken open-source tool PRoot om malware te ontwikkelen voor verschillende Linux-distributies.

BYOF-aanvallen, kort voor ‘bring your own filesystem’, zijn aanvallen waarbij hackers eigen apparaten gebruiken om schadelijke bestandssystemen en malware te ontwikkelen. Vervolgens worden de bestandssystemen op gehackte Linux-apparaten uitgerold om de apparaten over te nemen.

Sysdig

“Eerst bouwen threat actors een kwaadaardig bestandssysteem”, beschrijven onderzoekers van securitybedrijf Sysdig in een nieuw rapport. “Dit bestandssysteem bevat alle benodigdheden om Linux-apparaten over te nemen.”

De methode voorkomt dat de aanval door detectietools van slachtoffers wordt onderschept. De door Sysdig ontdekte aanvallen draaien om cryptomining, maar het securitybedrijf benadrukt dat de aanpak net zo goed voor gevaarlijkere malware kan worden gebruikt.

Open-source tool PRoot stelt hackers in staat om de compatibiliteit van bestandssystemen en malware te verbeteren, aldus Sysdig. De onderzoekers waarschuwen dat de methode het mogelijk maakt om snel en effectief malware te ontwikkelen voor verschillende Linux-distributies. “Met PRoot speelt de architectuur of Linux-distributie van het slachtoffer een minder grote rol.”

QEMU-emulatie

PRoot-processen zijn meestal beperkt tot het guest-bestandssysteem, maar QEMU-emulatie maakt het mogelijk om host- en guest-bestandssystemen tegelijkertijd te draaien.

Met bound/bind-methodes kunnen programma’s in een guest-bestandssysteem toegang krijgen tot mappen van een host-bestandssysteem.

Voorgeïnstalleerde PRoot-configuraties maken het mogelijk om exploits uit te voeren op verschillende Linux-distributies zonder de malware te hoeven vertalen naar de architectuur van een doelwit.

Tip: Linus Torvalds lanceert achtste release candidate van Linux 6.1