2024年度クラウドネイティブセキュリティおよび利用状況レポート
Sysdigの脅威研究チームは、脅威者がLinuxディストリビューション間で活動範囲を広げるために、PRootというオープンソースツールを使用していることを発見しました。
PRootは、異なるLinuxディストリビューションやアーキテクチャでの操作を簡素化し、攻撃者が環境を事前に完全に理解していない場合や、新しい環境での操作に必要なツールを変更するリソースが不足している場合に特に有効です。
この技術は、攻撃者が準備した悪意のあるファイルシステムをビルドし、ターゲットシステムにデプロイしてペイロードを実行することを可能にします。
Sysdigは、Falcoのルールを使用してこの種の活動を検出する方法についても説明しています。
PRootは、攻撃者に多くの利点を提供し、異なるアーキテクチャやディストリビューションに対する配慮が少なくなり、攻撃経路が単純化されることで、成功率が高まります。
