برنامج Perfctl الخبيث يصبح التهديد الصامت الذي يصيب آلاف خوادم Linux

في اكتشاف مثير للقلق مؤخرًا من قبل شركة Aqua Security، كان برنامج ضار خفي يسمى Perfctl يستهدف خوادم Linux بنشاط لأكثر من ثلاث سنوات، ويتسلل عبر شقوق تكوينات الخادم الخاطئة والثغرات الأمنية. لقد اخترق هذا البرنامج الضار المتطور آلاف الأنظمة، مع التركيز على تكتيكات التهرب واختطاف الموارد لتعدين العملات المشفرة. إليك ما تحتاج إلى معرفته حول عائلة البرامج الضارة هذه التي تحلق تحت الرادار.

كيف يعمل برنامج Perfctl

يستغل Perfctl أكثر من 20 ألف ثغرة معروفة وخلل في التكوين في خوادم Linux لإنشاء وصول مستمر. وبمجرد دخوله، لا يثير الإنذارات على الفور. بل إنه يعمل بصمت، مستخدمًا برنامجًا روتكيتًا لإخفاء نفسه ولا ينشط إلا عندما يكون الخادم خاملاً. يتم إدارة الاتصال ببنية الأوامر والتحكم الخاصة به بعناية من خلال مقبس Unix وشبكة Tor، مما يضمن صعوبة تتبع الأوامر الخارجية.

بمجرد دخول البرنامج الخبيث إلى النظام، فإنه ينشئ بابًا خلفيًا، ويرفع الامتيازات ويسمح لمشغليه بالتحكم في الخادم المصاب عن بُعد. ومن هناك، ينشر Perfctl أدوات الاستطلاع، ويسقط جهاز تعدين العملات المشفرة، ويستخدم برنامج اختطاف الوكيل لسرقة الموارد من الأنظمة المخترقة. كما ينشر مشغلوه برامج ضارة إضافية، مما يجعل هذه الخوادم المصابة أرضًا خصبة لأنشطة أكثر شرًا.

التهرب والمثابرة هما مفتاح التخفي في Perfctl

تم تصميم Perfctl لشيء واحد قبل كل شيء: البقاء مخفيًا. فهو يعدل نصوص النظام لضمان تشغيله قبل أحمال العمل المشروعة، مما يحافظ على قبضته على الخادم. كما أنه يرتبط بوظائف المصادقة المختلفة، مما يسمح له بتجاوز عمليات التحقق من كلمة المرور أو حتى تسجيل بيانات الاعتماد، مما يمنح المهاجمين مزيدًا من الوصول إلى البيانات الحساسة. ويذهب البرنامج الخبيث إلى حد تعليق عملياته إذا اكتشف نشاط المستخدم، مما يجعله غير مرئي تقريبًا للمسؤولين.

إن الملفات الثنائية التي ينشئها برنامج Perfctl، والتي يتم تجريدها من محتوياتها وتشفيرها، مصممة لتجنب الكشف عنها والهندسة العكسية. وقد بذل مبتكرو البرنامج جهوداً كبيرة لضمان عدم نجاح آليات الدفاع التقليدية ضده. والأسوأ من ذلك أن برنامج Perfctl لا يكتفي باختراق النظام فحسب، بل إنه يبحث بنشاط عن البرامج الضارة الأخرى على الخادم ويحاول القضاء عليها، مما يضمن أنه البرنامج الضار الوحيد الذي يعمل على النظام.

الثغرة الأمنية: تم استغلال CVE-2021-4043

أحد نقاط الدخول الحرجة لـ Perfctl هو من خلال ثغرة معروفة: CVE-2021-4043. هذا خطأ متوسط الخطورة في إلغاء مرجع المؤشر الفارغ في إطار عمل الوسائط المتعددة مفتوح المصدر Gpac. يستخدم Perfctl هذه الثغرة لزيادة امتيازاته، في محاولة للحصول على حق الوصول إلى الجذر. على الرغم من إضافة الخطأ مؤخرًا إلى كتالوج نقاط الضعف المستغلة المعروفة لدى CISA، إلا أنه يظل هدفًا لهذا البرنامج الخبيث بسبب استغلاله المستمر في البرية.

بمجرد حصول Perfctl على إمكانية الوصول، فإنه ينتشر عبر النظام المصاب، وينسخ نفسه إلى مواقع متعددة، بل ويسقط حتى أدوات Linux المعدلة، والتي تعمل كأدوات مساعدة في مجال المستخدم. وتعمل هذه الأدوات المساعدة على إخفاء عملياته بشكل أكبر وتسمح لبرنامج التعدين بالعمل في الخلفية دون أن يلاحظه أحد.

نطاق الهجوم

إن نطاق Perfctl واسع، حيث حددت شركة Aqua Security ثلاثة خوادم تنزيل مستخدمة في الهجمات ومجموعة من المواقع الإلكترونية المخترقة. يستخدم الجناة وراء Perfctl قوائم تلاعب بالدليل تحتوي على ما يقرب من 20 ألف إدخال للبحث عن ملفات التكوين والأسرار المكشوفة. وهذا يوضح أن المهاجمين لا يعتمدون فقط على نقاط ضعف عشوائية ولكنهم يبحثون بشكل منهجي عن تكوينات خاطئة لاستغلالها.

ماذا يمكن فعله؟

يسلط اكتشاف Perfctl الضوء على أهمية الحفاظ على التكوينات الآمنة على خوادم Linux وإصلاح الثغرات الأمنية المعروفة في أقرب وقت ممكن. يجب على مسؤولي النظام تدقيق أنظمتهم بانتظام بحثًا عن أي نشاط غير عادي، وخاصة أثناء فترات الخمول، ومراقبة حركة مرور الشبكة المشبوهة التي قد تشير إلى وجود برنامج روتكيت أو برنامج تعدين العملات المشفرة.

نظرًا للطبيعة المعقدة لـ Perfctl، فقد لا تكون آليات الكشف التقليدية كافية. ينبغي للمؤسسات أن تفكر في تنفيذ أدوات متقدمة للكشف عن التهديدات وحلول المراقبة التي يمكنها تحديد الأنماط غير المعتادة في سلوك الخادم، حتى إذا كان البرنامج الخبيث يحاول الاختباء بنشاط.