عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Perfctl Ransomware

Perfctl Ransomware

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:
العربية

لقد أصابت سلالة من البرمجيات الخبيثة آلاف الأنظمة التي تعمل بنظام Linux. وتتميز هذه البرمجيات بنهجها الخفي، والنطاق الواسع من التكوينات الخاطئة التي يمكنها استغلالها، ومجموعة واسعة من الأفعال الضارة التي يمكنها تنفيذها.

تم اكتشاف هذا التهديد لأول مرة في عام 2021، ويستغل أكثر من 20 ألف خطأ شائع في التكوين للتسلل إلى الأنظمة، مما يشكل خطرًا على ملايين الأجهزة المتصلة بالإنترنت. بالإضافة إلى ذلك، فإنه يستغل الثغرة الأمنية الحرجة CVE-2023-33426 التي يبلغ الحد الأقصى لشدتها 10 والتي تم تصحيحها العام الماضي في Apache RocketMQ، وهي منصة مراسلة وبث تستخدم على نطاق واسع على أنظمة Linux.

برنامج Perfctl الخبيث مزود بمجموعة كبيرة من القدرات الخبيثة

يشتق اسم Perfctl من مكون ضار يقوم بتعدين العملات المشفرة سراً. قام المطورون، الذين لا تزال هوياتهم غير معروفة، بدمج اسم أداة مراقبة أداء Linux "perf" مع "ctl"، وهو اختصار شائع في أدوات سطر الأوامر. من السمات البارزة لـ Perfctl استخدامه لأسماء العمليات والملفات التي تشبه إلى حد كبير تلك الموجودة عادةً في بيئات Linux، مما يسمح له بالتهرب من اكتشافه من قبل المستخدمين المتأثرين.

ولإخفاء وجوده بشكل أكبر، يستخدم Perfctl تكتيكات خفية مختلفة. ومن بين هذه التكتيكات تثبيت العديد من المكونات كبرامج روتكيت، وهي فئة محددة من البرامج الضارة المصممة للاختباء من نظام التشغيل والأدوات الإدارية. وتتضمن استراتيجيات التهرب الإضافية ما يلي:

  • إيقاف الأنشطة التي يمكن اكتشافها بسهولة عند تسجيل دخول مستخدم جديد
  • استخدام مقبس يونكس عبر TOR للاتصالات الخارجية
  • حذف ملف التثبيت الثنائي الخاص به بعد التنفيذ ثم تشغيله كخدمة خلفية
  • التلاعب بعملية Linux pcap_loop باستخدام تقنية تُعرف باسم hooking لمنع الأدوات الإدارية من تسجيل حركة المرور الضارة
  • منع أخطاء الرسائل لتجنب التنبيهات المرئية أثناء التنفيذ.

تم تصميم Perfctl للاستمرار، مما يسمح له بالبقاء على الأجهزة المصابة حتى بعد إعادة التشغيل أو محاولات إزالة المكونات الأساسية. ويحقق ذلك من خلال تقنيات مثل تعديل البرنامج النصي ~/.profile، الذي يقوم بتهيئة البيئة أثناء تسجيل دخول المستخدم، مما يسمح للبرامج الضارة بالتحميل قبل عمليات الخادم المشروعة. كما يقوم بنسخ نفسه إلى مواقع قرص متعددة من الذاكرة. ويعمل ربط pcap_loop على تعزيز الاستمرار من خلال السماح للأنشطة غير الآمنة بالاستمرار حتى بعد اكتشاف الحمولات الأساسية وإزالتها.

بالإضافة إلى استخدام موارد النظام لتعدين العملات المشفرة، يحول Perfctl الجهاز المصاب إلى وكيل مربح، مما يسمح للعملاء الذين يدفعون بنقل حركة الإنترنت الخاصة بهم. كما لاحظ باحثو الأمن السيبراني أن البرامج الضارة تعمل كبوابة خلفية لتثبيت عائلات أخرى من البرامج الضارة.

تدفق هجوم عدوى البرامج الضارة Perfctl

بعد الاستفادة من ثغرة أمنية أو خطأ في التكوين، يقوم كود الاستغلال بتنزيل الحمولة الأساسية من خادم مخترق، والذي تم تحويله إلى قناة توزيع مجهولة للبرامج الضارة. في الهجوم الذي تم فحصه، تم تسمية الحمولة httpd. عند التنفيذ، يقوم الملف بتكرار نفسه من الذاكرة إلى موقع جديد في الدليل /temp، وتشغيل الإصدار المنسوخ، وإنهاء العملية الأصلية، وحذف الملف الثنائي الذي تم تنزيله.

بمجرد نقله إلى دليل /tmp، يتم تنفيذ الملف تحت اسم مختلف يحاكي عملية Linux معروفة، تسمى sh على وجه التحديد في هذه الحالة. بعد ذلك، يقوم بإنشاء عملية Command-and-Control (C2) محلية. ويسعى إلى الحصول على امتيازات نظام الجذر من خلال استغلال CVE-2021-4043، وهي ثغرة تصعيد الامتيازات التي تم تصحيحها في عام 2021 داخل Gpac، وهو إطار عمل شائع للوسائط المتعددة مفتوح المصدر.

ثم يقوم البرنامج الخبيث بنسخ نفسه من الذاكرة إلى عدة مواقع أخرى على القرص، مستخدماً مرة أخرى أسماء تشبه ملفات النظام الروتينية. كما يقوم بنشر برنامج روتكيت إلى جانب مجموعة من أدوات لينكس الشائعة الاستخدام والتي تم تعديلها لتعمل كبرامج روتكيت، إلى جانب مكون التعدين. وفي بعض الحالات، يقوم البرنامج الخبيث بتثبيت برنامج "اختطاف الوكيل"، والذي يشير إلى التوجيه السري لحركة المرور عبر الجهاز المصاب، مما يخفي المصدر الحقيقي للبيانات.

وكجزء من عمليات C2، يفتح البرنامج الخبيث منفذ يونكس، وينشئ دليلين داخل الدليل /tmp، ويخزن البيانات التشغيلية هناك. وتتضمن هذه البيانات أحداث المضيف، ومواقع نسخه، وأسماء العمليات، وسجلات الاتصال، والرموز، ومعلومات السجل الإضافية. وعلاوة على ذلك، يستخدم متغيرات البيئة لتخزين البيانات التي تؤثر على تنفيذه وسلوكه.

يتم تعبئة جميع الملفات الثنائية وتجريدها وتشفيرها، مما يدل على التزام قوي بالتهرب من تدابير الأمان وتعقيد جهود الهندسة العكسية. يستخدم البرنامج الخبيث تكتيكات التهرب المتقدمة، مثل إيقاف أنشطته مؤقتًا عند اكتشاف مستخدم جديد في ملفات btmp أو utmp وإنهاء أي برنامج خبيث منافس للحفاظ على الهيمنة على النظام المصاب.

برنامج Perfctl يعرض عشرات الآلاف من الأجهزة للخطر

من خلال تحليل البيانات حول عدد خوادم لينكس المتصلة بالإنترنت عبر خدمات وتطبيقات مختلفة، يقدر الباحثون أن الآلاف من الأجهزة مصابة بفيروس Perfctl. تشير النتائج التي توصلوا إليها إلى أن مجموعة الأجهزة المعرضة للخطر - تلك التي لم تطبق بعد التصحيح الخاص بثغرة CVE-2023-33426 أو التي بها أخطاء في التكوين - تبلغ الملايين. ومع ذلك، لم يقم الباحثون بعد بتقييم إجمالي كمية العملات المشفرة التي تم إنشاؤها بواسطة عمال المناجم المؤذين.

للتحقق مما إذا كان جهازهم مستهدفًا أو مصابًا بفيروس Perfctl، يجب على المستخدمين البحث عن المؤشرات التي تم تحديدها للاختراق. بالإضافة إلى ذلك، يجب أن يكونوا يقظين للارتفاعات غير العادية في استخدام وحدة المعالجة المركزية أو تباطؤ النظام غير المتوقع، وخاصة أثناء فترات الخمول.

الشائع

McAfee - جهاز الكمبيوتر الخاص بك مصاب بخمسة فيروسات!...

المواقع المارقة, برامج إعلانية, رسائل تحذيرية مزيفة
تتطور التهديدات الإلكترونية بسرعة، ويبتكر المحتالون دائمًا طرقًا جديدة لخداع المستخدمين. ومن أكثر الأساليب شيوعًا التلاعب بالأشخاص وإقناعهم بأن أجهزتهم مصابة ببرامج ضارة. ويستغل هذا التكتيك الخوف...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

التصيد الاحتيالي, رسائل إلكترونية مزعجة
37,138
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...