攻擊者利用 PRoot 隔離文件系統漏洞可劫持 Linux 設備。

　　BYOF ( Bring Your Own Filesystem ) 攻擊是指攻擊者在其自有的設備上創建一個惡意文件系統，而該設備上含有用于發起攻擊活動的標準工具集。然后將該文件系統下載和掛載到被入侵的機器上，為下一步入侵 Linux 系統提供一個預配置的工具集。

　　PRoot 是一款 Linux 開源工具，融合了 'chroot'、'mount --bind'、'binfmt_misc' 命令，允許用戶在 Linux 系統中搭建一個隔離的 root 文件系統。近日，Sysdig 研究人員發現有黑客濫用 Linux PRoot 工具來發起 BYOF 攻擊活動，影響多個 Linux 發行版。

　　默認情況下，PRoot 進程活動范圍局限在隔離的 guest 文件系統中。但 QEMU 模擬可以用來混合 host 主機和 guest 程序的執行。此外，guest 文件系統中的程序也可以使用內置的 mount/bind 機制來訪問 host 系統的文件和目錄。

　　Sysdig 研究人員發現攻擊者利用 PRoot 在受害者系統中部署惡意文件系統，包括網絡掃描工具 "masscan"、"nmap"，以及 XMRig 加密貨幣挖礦機以及對應的配置文件。

　　文件系統中包含了用于攻擊的所有內容，類似于一個包含了必要依賴的 GZIP 壓縮文件，從 DropBox 這樣的可信云托管服務直接釋放。由于包含了所有的依賴，因此無需執行額外的配置命令。

　　由于 PRoot 是靜態編譯的，不需要任何依賴，攻擊者只需要從 gitlab 下載預編譯的二進制文件，執行下載的文件提取出文件系統，并掛載到系統上就可以。

　　研究人員發現在攻擊活動中，攻擊者將文件系統解壓到 '/tmp/Proot/' 目錄，然后激活 XMRig 加密貨幣挖礦機。

　　Sysdig 指出，攻擊者通過 PRoot 可以下載除 XMRig 加密貨幣挖礦機之外的其他 payload，對被入侵的系統引發更加嚴重的后果。

　　攻擊者通過使用預配置的 PRoot 文件系統可以實現跨操作系統配置，而無需將惡意軟件修改為特定架構，也無需包含特定依賴和工具。