El programari maliciós Perfctl es converteix en l'amenaça silenciosa que infecta milers de servidors Linux
En un descobriment alarmant recent d'Aqua Security, un programari maliciós furtiu anomenat Perfctl s'ha dirigit activament als servidors Linux des de fa més de tres anys, passant per les esquerdes de les configuracions incorrectes i les vulnerabilitats del servidor. Aquest sofisticat programari maliciós ha compromès milers de sistemes, centrant-se en tàctiques d'evasió i segrest de recursos per explotar criptomoneda. Això és el que necessiteu saber sobre aquesta família de programari maliciós que passa per sota del radar.
Taula de continguts
Com funciona Perfctl
Perfctl explota més de 20.000 vulnerabilitats i configuracions incorrectes conegudes en servidors Linux per establir un accés persistent. Un cop dins, no crida immediatament les alarmes. En canvi, funciona en silenci, utilitzant un rootkit per amagar-se i només s'activa quan el servidor està inactiu. La comunicació amb la seva infraestructura de comandament i control (C&C) es gestiona acuradament mitjançant un sòcol Unix i la xarxa Tor, assegurant que les ordres externes siguin difícils de rastrejar.
Un cop el programari maliciós està dins del sistema, crea una porta del darrere, augmenta els privilegis i permet als seus operadors controlar el servidor infectat de forma remota. A partir d'aquí, Perfctl desplega eines de reconeixement, deixa caure un miner de criptomoneda i utilitza programari de proxy-jacking per robar recursos dels sistemes compromesos. Els seus operadors també despleguen programari maliciós addicional, fent que aquests servidors infectats siguin un caldo de cultiu per a activitats més nefastes.
L'evasió i la persistència és la clau del sigil de Perfctl
Perfctl està dissenyat per una cosa per sobre de tot: mantenir-se ocult. Modifica els scripts del sistema per assegurar-se que s'executa abans de les càrregues de treball legítimes, mantenint el control del servidor. També es connecta a diverses funcions d'autenticació, cosa que li permet evitar les comprovacions de contrasenyes o fins i tot registrar les credencials, donant als atacants més accés a dades sensibles. El programari maliciós arriba fins i tot a suspendre les seves operacions si detecta activitat dels usuaris, fent-lo gairebé invisible per als administradors.
Empaquetats, despullats i xifrats, els binaris de Perfctl estan dissenyats per evitar la detecció i l'enginyeria inversa. Els seus creadors han fet tot el possible per garantir que els mecanismes de defensa tradicionals no funcionin en contra. Per empitjorar les coses, Perfctl no només està satisfet amb comprometre un sistema, sinó que busca activament altres programes maliciosos al servidor i intenta acabar-los, assegurant-se que és l'únic programari maliciós que s'executa al sistema.
La vulnerabilitat: CVE-2021-4043 explotada
Un dels punts d'entrada crítics per a Perfctl és a través d'una vulnerabilitat coneguda: CVE-2021-4043. Aquest és un error de desreferència de punter nul de gravetat mitjana al marc multimèdia de codi obert Gpac. Perfctl utilitza aquesta vulnerabilitat per augmentar els seus privilegis, intentant obtenir accés root. Tot i que l'error s'ha afegit recentment al catàleg de vulnerabilitats explotades conegudes de CISA, segueix sent un objectiu per a aquest programari maliciós a causa de la seva explotació contínua a la natura.
Una vegada que Perfctl accedeix, s'estén pel sistema infectat, copiant-se a diverses ubicacions i fins i tot deixa caure les utilitats Linux modificades, que actuen com a rootkits d'usuaris. Aquestes utilitats cobreixen encara més les seves operacions i permeten que el criptominer s'executi en segon pla sense adonar-se.
L'abast de l'atac
L'abast de Perfctl és ampli, amb Aqua Security que identifica tres servidors de descàrrega utilitzats en els atacs i una gran quantitat de llocs web compromesos. Els actors de l'amenaça darrere de Perfctl utilitzen llistes de fuzzing de travessa de directoris que contenen prop de 20.000 entrades per cercar fitxers i secrets de configuració exposats. Això deixa clar que els atacants no només confien en vulnerabilitats aleatòries, sinó que cerquen sistemàticament configuracions incorrectes per explotar.
Què es pot fer?
El descobriment de Perfctl posa de manifest la importància de mantenir configuracions segures als servidors Linux i de pedaçar les vulnerabilitats conegudes tan aviat com sigui possible. Els administradors del sistema haurien d'auditar regularment els seus sistemes per detectar activitats inusuals, especialment durant els períodes d'inactivitat, i controlar el trànsit de xarxa sospitós que podria indicar la presència d'un rootkit o un miner de criptomoneda.
Donada la naturalesa sofisticada de Perfctl, els mecanismes de detecció tradicionals poden no ser suficients. Les organitzacions haurien de considerar la implementació d'eines avançades de detecció d'amenaces i solucions de monitorització que puguin identificar patrons inusuals en el comportament del servidor, fins i tot si el programari maliciós està intentant amagar-se activament.