Зловреден софтуер Perfctl се превръща в тихата заплаха, заразяваща хиляди Linux сървъри
В скорошно тревожно откритие от Aqua Security, скрит злонамерен софтуер, наречен Perfctl, активно се насочва към сървърите на Linux повече от три години, като се промъква през пукнатините на сървърни неправилни конфигурации и уязвимости. Този усъвършенстван злонамерен софтуер е компрометирал хиляди системи, фокусирайки се върху тактики за укриване и отвличане на ресурси за копаене на криптовалута. Ето какво трябва да знаете за това семейство злонамерен софтуер, което лети под радара.
Съдържание
Как работи Perfctl
Perfctl използва повече от 20 000 известни уязвимости и неправилни конфигурации в Linux сървъри, за да установи постоянен достъп. След като влезе вътре, не предизвиква веднага аларми. Вместо това той работи безшумно, като използва руткит, за да се скрие и се активира само когато сървърът е неактивен. Комуникацията с неговата инфраструктура за командване и контрол (C&C) се управлява внимателно чрез Unix сокет и мрежата Tor, което гарантира, че външните команди са трудни за проследяване.
След като злонамереният софтуер е вътре в системата, той създава задна врата, ескалирайки привилегиите и позволявайки на своите оператори да контролират заразения сървър от разстояние. Оттам Perfctl внедрява инструменти за разузнаване, премахва копач на криптовалута и използва софтуер за кражба на прокси сървъри, за да открадне ресурси от компрометирани системи. Неговите оператори също внедряват допълнителен злонамерен софтуер, превръщайки тези заразени сървъри в благоприятна среда за по-престъпни дейности.
Укриването и постоянството са ключът към стелта на Perfctl
Perfctl е проектиран за едно нещо преди всичко друго: да остане скрит. Той модифицира системните скриптове, за да гарантира, че работи преди легитимни работни натоварвания, като поддържа контрола върху сървъра. Той също така се свързва с различни функции за удостоверяване, което му позволява да заобиколи проверките на пароли или дори да регистрира идентификационни данни, като дава на нападателите допълнителен достъп до чувствителни данни. Зловреден софтуер дори спира операциите си, ако открие потребителска активност, което го прави почти невидим за администраторите.
Опаковани, оголени и криптирани, двоичните файлове на Perfctl са проектирани да избегнат откриването и обратното инженерство. Създателите му са положили големи усилия, за да гарантират, че традиционните защитни механизми няма да работят срещу него. За да направи нещата още по-лоши, Perfctl не се задоволява само с компрометиране на система – той активно търси друг зловреден софтуер на сървъра и се опитва да ги прекрати, като гарантира, че е единственият зловреден софтуер, работещ в системата.
Уязвимостта: CVE-2021-4043 е използвана
Една от критичните входни точки за Perfctl е чрез известна уязвимост: CVE-2021-4043. Това е грешка при деименуване на нулев указател със средна степен на тежест в мултимедийната рамка с отворен код Gpac. Perfctl използва тази уязвимост, за да ескалира своите привилегии, опитвайки се да получи root достъп. Въпреки че бъгът наскоро беше добавен към каталога с известни експлоатирани уязвимости на CISA, той остава цел за този зловреден софтуер поради продължаващата му експлоатация в дивата природа.
След като Perfctl получи достъп, той се разпространява в заразената система, като се копира на множество места и дори премахва модифицираните помощни програми на Linux, които действат като руткитове за потребителска земя. Тези помощни програми допълнително прикриват неговите операции и позволяват на криптомайнера да работи във фонов режим незабелязано.
Обхватът на атаката
Обхватът на Perfctl е широк, като Aqua Security идентифицира три сървъра за изтегляне, използвани при атаките, и множество компрометирани уебсайтове. Актьорите на заплахите зад Perfctl използват списъци за размиване на директории, съдържащи близо 20 000 записа, за да търсят открити конфигурационни файлове и тайни. Това ясно показва, че нападателите не разчитат само на произволни уязвимости, но систематично търсят неправилни конфигурации, за да се възползват.
Какво може да се направи?
Откриването на Perfctl подчертава важността на поддържането на защитени конфигурации на сървърите на Linux и отстраняването на известни уязвимости възможно най-скоро. Системните администратори трябва редовно да проверяват своите системи за необичайна дейност, особено по време на периоди на неактивност, и да наблюдават за подозрителен мрежов трафик, който може да показва наличието на руткит или копач на криптовалута.
Като се има предвид сложната природа на Perfctl, традиционните механизми за откриване може да не са достатъчни. Организациите трябва да обмислят внедряването на усъвършенствани инструменти за откриване на заплахи и решения за наблюдение, които могат да идентифицират необичайни модели в поведението на сървъра, дори ако зловреден софтуер активно се опитва да се скрие.