Das Threat Research Team (TRT) von Sysdig, einem Anbieter von Container- und Cloud-Sicherheit, entdeckte, dass Bedrohungsakteure ein Open-Source-Tool namens PRoot nutzen, um den Umfang ihrer Operationen auf mehrere Linux-Distributionen auszudehnen und somit ihre notwendigen eigenen Anstrengungen zu vereinfachen.
Normalerweise wird der Umfang eines Angriffs durch die unterschiedlichen Konfigurationen der einzelnen Linux-Distributionen begrenzt. PRoot ist ein Open-Source-Tool, das Angreifern eine einheitliche Betriebsumgebung für verschiedene Linux-Distributionen wie Ubuntu, Fedora und Alpine bietet. PRoot bietet auch Emulationsfunktionen, mit denen sich Malware auf anderen Architekturen, wie beispielsweise ARM, ausführen lässt.
Diese neuartige Technik ermöglicht es Bedrohungsakteuren, Malware, die zuvor für andere Architekturen und Distributionen entwickelt wurde, ohne Kosten und mit geringem Aufwand auf weiteren Zielen auszuführen. Diese Post-Exploitation-Technik, die als Bring Your Own Filesystem (BYOF) bezeichnet wird, wird von den von Sysdig beobachteten Bedrohungsakteuren aktiv genutzt. Sie ist besonders nützlich für Kriminelle bei Zielen, bei denen sie die Umgebung im Vorfeld nicht vollständig kennen oder nicht über die nötigen Ressourcen verfügen, um ihre Tools für den Einsatz in der neuen Umgebung anzupassen.
Michael Clark, Director of Threat Research bei Sysdig, über die Schwachstelle: „Bei den Angriffen, die das Sysdig TRT entdeckte, wurden bösartige Archive auf beliebten Speicherplattformen wie DropBox abgelegt. Sobald die Angreifer Zugang zu ihrem Zielsystem hatten, luden sie ihr bösartiges Dateisystempaket zusammen mit PRoot herunter. Bei der Verwendung von PRoot spielt die Architektur oder Distribution des Ziels kaum eine Rolle, da das Tool die mit der Kompatibilität der ausführbaren Dateien, der Einrichtung der Umgebung und der Ausführung von Malware und/oder Minern verbundenen Probleme des Angriffs ausgleicht. PRoot kann somit für die Bereitstellung einer beliebigen Anzahl von Payloads genutzt werden. Es ermöglicht Angreifern somit enorm große Skalierungsoptionen, nach einer erfolgreichen Infiltration.“
Gegen diese neue Bedrohung gibt es allerdings auch eine klare Sicherheitsstrategie: „Eine Laufzeiterkennungsschicht wie Falco, die dieses Verhalten erkennen kann, ist für die Sicherheitsabläufe in Unternehmen von entscheidender Bedeutung. Stellen Sie sicher, dass Sie diese Art von Bedrohung erkennen können, um das Risiko einer Ausnutzung, durch Cyberkriminelle in Ihrem Netzwerk zu verringern“, erläutert Clark.
Bei Falco handelt es sich um einen Open-Source-Agent zur Überwachung von Verhaltensaktivitäten mit nativer Unterstützung für Container. Falco erlaubt die Definition von hochgradig granularen Regeln, um Aktivitäten in Bezug auf Datei- und Netzwerkaktivitäten, Prozessausführung, IPC und vieles mehr zu überprüfen, wobei eine flexible Syntax verwendet wird. Sollten diese definierten Regeln dann gebrochen werden, so informiert Falco die Verantwortlichen. Man kann sich Falco als eine Mischung aus Snort, Ossec und Strace vorstellen.
www.sysdig.com