kinryulabs/rootpacket-cve-2026-31431
GitHub: kinryulabs/rootpacket-cve-2026-31431
从蜜罐捕获的 Linux 加密劫持工具包样本,利用 CVE-2026-31431 容器逃逸提权并部署 rootkit 隐藏挖矿行为,供防御性安全研究使用。
Stars: 0 | Forks: 0
# rootpacket (CVE-2026-31431)
一款 Linux Docker 到主机的挖矿劫持工具包,捕获自针对 [Kinryū Labs](https://kinryu.sh) 蜜罐的实际攻击。它通过暴露的 Docker Engine API 入侵,利用 **CVE-2026-31431** 逃逸容器以获取宿主机 root 权限,安装内核 rootkit,并运行 XMRig Monero 矿工。
**完整技术分析:** https://kinryu.sh/reports/rootpacket-linux-cryptojacking-rootkit
`TLP:CLEAR`
## 目录
| 文件 | 用途说明 |
|------|------------|
| `setup.sh` | 安装程序/编排器。选择 root 或 userland 模式并建立持久化。 |
| `getroot` | ⚠️ 针对于 **CVE-2026-31431**("Copy Fail")的有效 LPE exploit:一种 AF_ALG 页面缓存写入,可在内存中修补 `/usr/bin/su`。也可用于从容器逃逸至宿主机。 |
| `xrandom` | 基于 XMRig 的 Monero 矿工,经 UPX 加壳并重命名以进行伪装。 |
| `killservice.sh` | 竞争者驱逐 + 宿主机加固:杀死竞争矿工,然后关闭其入侵时使用的暴露服务(包括 Docker 2375)。 |
| `kernel/` | `stealth.c` LKM rootkit(伪装为 `intel_uncore_freq_aux`)及其 DKMS 安装程序。隐藏进程并伪造 `/proc/stat` + `/proc/meminfo`。 |
| `rootpacket.tar.gz` | 打包的工具包,从 payload 主机分发时的原样。 |
## 哈希值
| 文件 | SHA-256 |
|------|---------|
| `getroot` | `dda96d8a4bcc39dc7679347a4386bf1024152d2ccc46d333725ad0cda855d952` |
| `xrandom` | `ec3ef3dce99fa6cbc480f0f0b0c292676afed68704c44396271c7dc6afea2937` |
| `rootpacket.tar.gz` | `e2d0dab6b29df89d123fe8581047a03ac9b89ae8fa0d1f334b5aefbb93152857` |
`rootpacket.tar.gz`: MD5 `aa09915de9ce9dba8b62995e17fe9b97`, 5,243,465 字节。
## 行为详情
- **传播途径:** 暴露在 TCP 2375 上的 Docker Engine API → 一个绑定挂载宿主机 root 的特权容器(`-v /:/host --pid host`)→ `chroot /host` → 拉取并运行此工具包。
- **权限提升:** `getroot` 利用 CVE-2026-31431,这是 AF_ALG `algif_aead` 接口(`authencesn(hmac(sha256),cbc(aes))`)中一个确定性的 4 字节页面缓存写入漏洞,用于在内存中修补 `/usr/bin/su` 并以 root 身份运行 shellcode。磁盘文件未被触及,因此文件完整性监控(FIM)无法察觉。由于页面缓存是宿主机全局共享的,该漏洞同样能从非特权容器逃逸至宿主机。
- **隐蔽性:** LKM rootkit 隐藏了矿工的进程和文件,并伪造 `/proc` 中的 CPU/RAM 信息,因此 `top` 显示出的系统负载会非常平稳。
- **影响:** 以 root 身份进行 XMRig Monero 挖矿;`killservice.sh` 会驱逐竞争矿工并锁定其他暴露的服务。
受影响的内核:Linux 4.14 至 6.19.11。已在 6.18.22 / 6.19.12 / 7.0+ 中修复。
## 负责任的使用
仅用于防御性研究、检测工程和教育目的。请勿针对您不拥有或未获得明确授权测试的系统使用这些样本、exploit 或技术。您需自行遵守所在司法管辖区的法律(如 CFAA、Computer Misuse Act 及同等法规)。
这些样本由第三方威胁行为者编写,复制时未作任何修改以供分析。
## 联系方式
勘误、样本请求或下架处理:**security@kinryu.sh** · [kinryu.sh](https://kinryu.sh)
标签:Cutter, Rootkit, Web报告查看器, Zeek, 容器逃逸, 恶意软件, 挖矿木马, 本地提权, 请求拦截