Malware Perfctl se stává tichou hrozbou, která infikuje tisíce linuxových serverů
Podle nedávného znepokojivého objevu společnosti Aqua Security se kradmý malware jménem Perfctl aktivně zaměřuje na linuxové servery již více než tři roky a proklouzl skrz trhliny chybné konfigurace a zranitelnosti serverů. Tento sofistikovaný malware kompromitoval tisíce systémů se zaměřením na únikové taktiky a únosy zdrojů k těžbě kryptoměny. Zde je to, co potřebujete vědět o této rodině malwaru, která letí pod radarem.
Obsah
Jak Perfctl funguje
Perfctl využívá více než 20 000 známých zranitelností a chybných konfigurací na linuxových serverech k vytvoření trvalého přístupu. Jakmile je uvnitř, nevyvolá okamžitě poplach. Místo toho funguje tiše, ke skrytí se používá rootkit a aktivuje se pouze tehdy, když je server nečinný. Komunikace s jeho infrastrukturou příkazů a řízení (C&C) je pečlivě spravována prostřednictvím soketu Unix a sítě Tor, což zajišťuje, že externí příkazy je obtížné dohledat.
Jakmile je malware uvnitř systému, vytvoří zadní vrátka, posílí oprávnění a umožní jeho operátorům vzdáleně ovládat infikovaný server. Odtud Perfctl nasazuje nástroje pro průzkum, upouští těžař kryptoměn a používá software pro proxy-jacking ke krádeži zdrojů z kompromitovaných systémů. Jeho provozovatelé také nasazují další malware, díky čemuž se tyto infikované servery stávají živnou půdou pro nekalé aktivity.
Únik a vytrvalost jsou klíčem k utajení Perfctl
Perfctl je navržen především pro jednu věc: zůstat skrytý. Upravuje systémové skripty, aby bylo zajištěno, že budou spuštěny před legitimním pracovním zatížením, a udrží si tak kontrolu na serveru. Zapojuje se také do různých ověřovacích funkcí, což mu umožňuje obejít kontroly hesel nebo dokonce protokolovat přihlašovací údaje, což útočníkům poskytuje další přístup k citlivým datům. Malware jde dokonce tak daleko, že pozastaví své operace, pokud detekuje aktivitu uživatele, takže je pro administrátory téměř neviditelný.
Binární soubory Perfctl jsou zabaleny, odstraněny a zašifrovány, aby se vyhnuly detekci a zpětnému inženýrství. Jeho tvůrci vynaložili velké úsilí, aby zajistili, že tradiční obranné mechanismy proti němu nebudou fungovat. Aby toho nebylo málo, Perfctl se nespokojuje pouze s kompromitováním systému – aktivně vyhledává další malware na serveru a pokouší se je ukončit, čímž zajišťuje, že jde o jediný malware běžící v systému.
Chyba zabezpečení: CVE-2021-4043 zneužito
Jedním z kritických vstupních bodů pro Perfctl je známá chyba zabezpečení: CVE-2021-4043. Toto je středně závažná chyba dereference ukazatele Null v open-source multimediálním rámci Gpac. Perfctl využívá tuto chybu zabezpečení k eskalaci svých oprávnění a pokouší se získat přístup root. Ačkoli byla chyba nedávno přidána do katalogu známých zneužitých zranitelností CISA, zůstává cílem tohoto malwaru kvůli jeho pokračujícímu zneužívání ve volné přírodě.
Jakmile Perfctl získá přístup, rozšíří se po infikovaném systému, zkopíruje se na více míst a dokonce zahodí upravené linuxové nástroje, které fungují jako uživatelské rootkity. Tyto nástroje dále maskují jeho operace a umožňují kryptomineru běžet na pozadí bez povšimnutí.
Rozsah útoku
Dosah Perfctl je široký a Aqua Security identifikuje tři stahovací servery použité při útocích a spoustu napadených webů. Aktéři hrozeb za Perfctl používají k vyhledávání odhalených konfiguračních souborů a tajemství fuzzing seznamy pro procházení adresářů obsahující téměř 20 000 položek. To objasňuje, že útočníci nespoléhají pouze na náhodné zranitelnosti, ale systematicky hledají nesprávné konfigurace, které by mohli zneužít.
Co lze udělat?
Objev Perfctl zdůrazňuje důležitost udržování bezpečných konfigurací na linuxových serverech a opravy známých zranitelností co nejdříve. Správci systému by měli pravidelně kontrolovat, zda jejich systémy nevykazují neobvyklou aktivitu, zejména během období nečinnosti, a sledovat podezřelý provoz v síti, který by mohl naznačovat přítomnost rootkitu nebo těžaře kryptoměn.
Vzhledem k sofistikované povaze Perfctl nemusí tradiční detekční mechanismy stačit. Organizace by měly zvážit implementaci pokročilých nástrojů pro detekci hrozeb a monitorovacích řešení, která dokážou identifikovat neobvyklé vzorce chování serveru, i když se malware aktivně snaží skrývat.