Perfctl-malwaren bliver den tavse trussel, der inficerer tusindvis af Linux-servere
I en nylig alarmerende opdagelse fra Aqua Security har en snigende malware ved navn Perfctl været aktivt målrettet mod Linux-servere i over tre år, og glider gennem sprækkerne af serverfejlkonfigurationer og sårbarheder. Denne sofistikerede malware har kompromitteret tusindvis af systemer, med fokus på unddragelsestaktikker og kapring af ressourcer til at udvinde kryptovaluta. Her er hvad du behøver at vide om denne malware-familie, der flyver under radaren.
Indholdsfortegnelse
Sådan fungerer Perfctl
Perfctl udnytter mere end 20.000 kendte sårbarheder og fejlkonfigurationer i Linux-servere for at etablere vedvarende adgang. Når den først er inde, udløser den ikke umiddelbart alarmer. I stedet fungerer det lydløst ved at bruge et rootkit til at skjule sig selv og aktiveres kun, når serveren er inaktiv. Kommunikation med dens kommando-og-kontrol-infrastruktur (C&C) styres omhyggeligt gennem en Unix-socket og Tor-netværket, hvilket sikrer, at eksterne kommandoer er svære at spore.
Når først malwaren er inde i systemet, skaber den en bagdør, der eskalerer privilegier og giver dens operatører mulighed for at fjernstyre den inficerede server. Derfra implementerer Perfctl værktøjer til rekognoscering, dropper en cryptocurrency-minearbejder og bruger proxy-jacking-software til at stjæle ressourcer fra kompromitterede systemer. Dets operatører implementerer også yderligere malware, hvilket gør disse inficerede servere til grobund for mere ondskabsfulde aktiviteter.
Unddragelse og vedholdenhed er nøglen til Perfctls stealth
Perfctl er konstrueret til én ting frem for alt andet: at forblive skjult. Det ændrer systemscripts for at sikre, at det kører før lovlige arbejdsbelastninger, og bevarer sit greb om serveren. Den tilslutter sig også forskellige godkendelsesfunktioner, så den kan omgå adgangskodekontrol eller endda logge legitimationsoplysninger, hvilket giver angribere yderligere adgang til følsomme data. Malwaren går endda så langt som at suspendere dens operationer, hvis den registrerer brugeraktivitet, hvilket gør den næsten usynlig for administratorer.
Pakket, strippet og krypteret er Perfctls binære filer designet til at undgå registrering og reverse engineering. Dens skabere er gået langt for at sikre, at traditionelle forsvarsmekanismer ikke vil modarbejde det. For at gøre tingene værre, er Perfctl ikke bare tilfreds med at kompromittere et system – den søger aktivt efter anden malware på serveren og forsøger at afslutte dem, hvilket sikrer, at det er den eneste malware, der kører på systemet.
Sårbarheden: CVE-2021-4043 udnyttet
Et af de kritiske indgangspunkter for Perfctl er gennem en kendt sårbarhed: CVE-2021-4043. Dette er en nul-pointer-dereference-fejl i mellemsværhedsgrad i open-source multimedierammen Gpac. Perfctl bruger denne sårbarhed til at eskalere sine privilegier og forsøger at få root-adgang. Selvom fejlen for nylig blev tilføjet til CISA's katalog over kendte udnyttede sårbarheder, forbliver den et mål for denne malware på grund af dens igangværende udnyttelse i naturen.
Når Perfctl får adgang, spreder det sig over det inficerede system, kopierer sig selv til flere steder og dropper endda modificerede Linux-værktøjer, der fungerer som rootkits til brugerland. Disse hjælpeprogrammer skjuler yderligere dens operationer og tillader kryptomineren at køre i baggrunden ubemærket.
Angrebets omfang
Perfctls rækkevidde er bred, hvor Aqua Security identificerer tre downloadservere, der blev brugt i angrebene, og en række kompromitterede websteder. Trusselsaktørerne bag Perfctl bruger fuzzing-lister over mappegennemgange, der indeholder næsten 20.000 poster til at søge efter afslørede konfigurationsfiler og hemmeligheder. Dette gør det klart, at angriberne ikke kun er afhængige af tilfældige sårbarheder, men systematisk søger efter fejlkonfigurationer at udnytte.
Hvad kan gøres?
Opdagelsen af Perfctl fremhæver vigtigheden af at opretholde sikre konfigurationer på Linux-servere og rette kendte sårbarheder så hurtigt som muligt. Systemadministratorer bør regelmæssigt revidere deres systemer for usædvanlig aktivitet, især i inaktive perioder, og overvåge for mistænkelig netværkstrafik, der kunne indikere tilstedeværelsen af et rootkit eller cryptocurrency-miner.
I betragtning af Perfctls sofistikerede karakter er traditionelle detektionsmekanismer muligvis ikke nok. Organisationer bør overveje at implementere avancerede trusselsdetektionsværktøjer og overvågningsløsninger, der kan identificere usædvanlige mønstre i serveradfærd, selvom malwaren aktivt forsøger at gemme sig.