Yeni bir rapor, bazı bilgisayar korsanlarının hedef uç noktalara kötü amaçlı yazılım veya virüs yüklemekle ilgilenmediğini, bunun yerine tüm araç kutularını kurbanın cihazına getirmeye çalıştıklarını ve bunun da her birey için en iyi kötü amaçlı aracı seçip seçmelerine yardımcı olacağını vurguladı. hedef.
Yöntemi “Kendi Dosya Sisteminizi Getirin” veya kısaca BYOF olarak adlandıran Sysdig’in araştırması, yöntemin şu ana kadar PRot adlı savunmasız bir yardımcı program sayesinde Linux cihazlarda çalıştığını buldu.
Sysdig’e göre, tehdit aktörleri kendi cihazlarında tam bir kötü amaçlı dosya sistemi oluşturacak ve ardından onu indirip tehlikeye atılmış uç noktaya monte edecek. Bu şekilde, Linux sistemlerinden daha da fazla ödün vermelerine yardımcı olan önceden yapılandırılmış bir araç setine sahip olurlar.
Cryptojacker’ları yükleme
Sysdig raporunda, “İlk olarak, tehdit aktörleri dağıtılacak kötü amaçlı bir dosya sistemi oluşturur. Bu kötü amaçlı dosya sistemi, operasyonun başarılı olması için gereken her şeyi içerir.” “Bu hazırlığın bu erken aşamada yapılması, tüm araçların saldırganın tespit araçlarının meraklı gözlerinden uzakta indirilmesine, yapılandırılmasına veya kendi sistemine kurulmasına olanak tanır.”
Yazılım şirketi şimdiye kadar yalnızca bu cihazlara kripto para madencileri yüklemek için kullanılan yöntemi gözlemlese de, daha yıkıcı ve zarar verici saldırılar için potansiyel olduğunu söylüyor.
PRot, kullanıcıların Linux’ta yalıtılmış kök dosya sistemleri oluşturmasına izin veren bir yardımcı program aracıdır. Araç, tüm işlemlerin konuk dosya sistemi içinde çalışması için tasarlanmış olsa da, tehdit aktörlerinin kötüye kullandığı ana bilgisayar ve konuk programlarını karıştırmanın yolları vardır. Ayrıca, konuk dosya sisteminde çalışan programlar, ana bilgisayar sisteminden dosyalara ve dizinlere erişmek için yerleşik bağlama/bağlama mekanizmasını kullanabilir.
Görünüşe göre, araç statik olarak derlendiğinden ve ek bağımlılıklar gerektirmediğinden, PRot’u kötü amaçlı yazılım dağıtmak için kötüye kullanmak nispeten kolaydır. Bilgisayar korsanlarının tek yapması gereken önceden birleştirilmiş ikili dosyayı GitLab’dan indirmek ve onu hedef uç noktaya monte etmektir.
Sysdig, “Herhangi bir bağımlılık veya yapılandırma da dosya sistemine dahil edilmiştir, bu nedenle saldırganın herhangi bir ek kurulum komutu çalıştırması gerekmez” diyor. “Saldırgan PROot’u başlatır, onu paketlenmemiş kötü amaçlı dosya sistemine yönlendirir ve yürütülecek XMRig ikili dosyasını belirtir.”
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)