Το κακόβουλο λογισμικό Perfctl γίνεται η σιωπηλή απειλή που μολύνει χιλιάδες διακομιστές Linux
Σε μια πρόσφατη ανησυχητική ανακάλυψη από την Aqua Security, ένα κρυφό κακόβουλο λογισμικό με το όνομα Perfctl στοχεύει ενεργά διακομιστές Linux για περισσότερα από τρία χρόνια, περνώντας από τις ρωγμές των εσφαλμένων διαμορφώσεων και των τρωτών σημείων διακομιστή. Αυτό το εξελιγμένο κακόβουλο λογισμικό έχει θέσει σε κίνδυνο χιλιάδες συστήματα, εστιάζοντας σε τακτικές φοροδιαφυγής και πειρατείας πόρων για την εξόρυξη κρυπτονομισμάτων. Εδώ είναι τι πρέπει να γνωρίζετε για αυτήν την οικογένεια κακόβουλου λογισμικού που πετά κάτω από το ραντάρ.
Πίνακας περιεχομένων
Πώς λειτουργεί το Perfctl
Το Perfctl εκμεταλλεύεται περισσότερα από 20.000 γνωστά τρωτά σημεία και εσφαλμένες διαμορφώσεις σε διακομιστές Linux για να δημιουργήσει μόνιμη πρόσβαση. Μόλις μπει μέσα, δεν προκαλεί αμέσως συναγερμό. Αντίθετα, λειτουργεί αθόρυβα, χρησιμοποιώντας ένα rootkit για να κρυφτεί και ενεργοποιείται μόνο όταν ο διακομιστής είναι αδρανής. Η διαχείριση της επικοινωνίας με την υποδομή εντολών και ελέγχου (C&C) γίνεται προσεκτικά μέσω μιας υποδοχής Unix και του δικτύου Tor, διασφαλίζοντας ότι οι εξωτερικές εντολές είναι δύσκολο να εντοπιστούν.
Μόλις το κακόβουλο λογισμικό βρίσκεται μέσα στο σύστημα, δημιουργεί μια κερκόπορτα, κλιμακώνοντας τα προνόμια και επιτρέποντας στους χειριστές του να ελέγχουν τον μολυσμένο διακομιστή από απόσταση. Από εκεί, το Perfctl αναπτύσσει εργαλεία για αναγνώριση, ρίχνει έναν εξόρυξη κρυπτονομισμάτων και χρησιμοποιεί λογισμικό proxy-jacking για να κλέψει πόρους από παραβιασμένα συστήματα. Οι χειριστές του αναπτύσσουν επίσης πρόσθετο κακόβουλο λογισμικό, καθιστώντας αυτούς τους μολυσμένους διακομιστές τόπους αναπαραγωγής για πιο άθλιες δραστηριότητες.
Το Evasion and Persistence είναι το κλειδί για το Stealth του Perfctl
Το Perfctl έχει σχεδιαστεί για ένα πράγμα πάνω από όλα: να παραμένει κρυμμένο. Τροποποιεί τα σενάρια του συστήματος για να διασφαλίσει ότι εκτελείται πριν από τους νόμιμους φόρτους εργασίας, διατηρώντας τη λαβή του στον διακομιστή. Επίσης, συνδέεται με διάφορες λειτουργίες ελέγχου ταυτότητας, επιτρέποντάς του να παρακάμπτει τους ελέγχους κωδικών πρόσβασης ή ακόμη και τα διαπιστευτήρια καταγραφής, δίνοντας στους εισβολείς περαιτέρω πρόσβαση σε ευαίσθητα δεδομένα. Το κακόβουλο λογισμικό φτάνει ακόμη και στο να αναστέλλει τις δραστηριότητές του εάν εντοπίσει δραστηριότητα χρήστη, καθιστώντας το σχεδόν αόρατο στους διαχειριστές.
Συσκευασμένα, απογυμνωμένα και κρυπτογραφημένα, τα δυαδικά αρχεία του Perfctl έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό και την αντίστροφη μηχανική. Οι δημιουργοί του έχουν καταβάλει κάθε δυνατή προσπάθεια για να διασφαλίσουν ότι οι παραδοσιακοί αμυντικοί μηχανισμοί δεν θα λειτουργήσουν εναντίον του. Για να χειροτερέψουν τα πράγματα, το Perfctl δεν αρκείται απλώς στην παραβίαση ενός συστήματος - αναζητά ενεργά άλλα κακόβουλα προγράμματα στον διακομιστή και προσπαθεί να τα τερματίσει, διασφαλίζοντας ότι είναι το μόνο κακόβουλο λογισμικό που εκτελείται στο σύστημα.
Η ευπάθεια: CVE-2021-4043 Exploited
Ένα από τα κρίσιμα σημεία εισόδου για το Perfctl είναι μέσω μιας γνωστής ευπάθειας: CVE-2021-4043. Αυτό είναι ένα σφάλμα αποαναφοράς μηδενικού δείκτη μέσης σοβαρότητας στο πλαίσιο πολυμέσων ανοιχτού κώδικα Gpac. Το Perfctl χρησιμοποιεί αυτήν την ευπάθεια για να κλιμακώσει τα προνόμιά του, προσπαθώντας να αποκτήσει πρόσβαση root. Αν και το σφάλμα προστέθηκε πρόσφατα στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA, παραμένει στόχος αυτού του κακόβουλου λογισμικού λόγω της συνεχιζόμενης εκμετάλλευσής του στη φύση.
Μόλις το Perfctl αποκτήσει πρόσβαση, εξαπλώνεται σε όλο το μολυσμένο σύστημα, αντιγράφοντας τον εαυτό του σε πολλαπλές τοποθεσίες, ακόμη και απορρίπτει τροποποιημένα βοηθητικά προγράμματα Linux, τα οποία λειτουργούν ως rootkits της χώρας χρήστη. Αυτά τα βοηθητικά προγράμματα καλύπτουν περαιτέρω τις λειτουργίες του και επιτρέπουν στο cryptominer να λειτουργεί στο παρασκήνιο απαρατήρητο.
Το εύρος της επίθεσης
Η εμβέλεια του Perfctl είναι ευρεία, με το Aqua Security να εντοπίζει τρεις διακομιστές λήψης που χρησιμοποιήθηκαν στις επιθέσεις και μια σειρά από παραβιασμένους ιστότοπους. Οι παράγοντες απειλών πίσω από το Perfctl χρησιμοποιούν λίστες ασαφούς διέλευσης καταλόγου που περιέχουν σχεδόν 20.000 καταχωρήσεις για να αναζητήσουν εκτεθειμένα αρχεία διαμόρφωσης και μυστικά. Αυτό καθιστά σαφές ότι οι εισβολείς δεν βασίζονται μόνο σε τυχαίες ευπάθειες, αλλά αναζητούν συστηματικά εσφαλμένες διαμορφώσεις για εκμετάλλευση.
Τι μπορεί να γίνει;
Η ανακάλυψη του Perfctl υπογραμμίζει τη σημασία της διατήρησης ασφαλών διαμορφώσεων σε διακομιστές Linux και της επιδιόρθωσης γνωστών τρωτών σημείων το συντομότερο δυνατό. Οι διαχειριστές συστήματος θα πρέπει να ελέγχουν τακτικά τα συστήματά τους για ασυνήθιστη δραστηριότητα, ειδικά κατά τις περιόδους αδράνειας, και να παρακολουθούν για ύποπτη κίνηση δικτύου που θα μπορούσε να υποδεικνύει την παρουσία ενός rootkit ή ενός εξορύκτη κρυπτονομισμάτων.
Δεδομένης της εξελιγμένης φύσης του Perfctl, οι παραδοσιακοί μηχανισμοί ανίχνευσης μπορεί να μην είναι αρκετοί. Οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο εφαρμογής προηγμένων εργαλείων ανίχνευσης απειλών και λύσεων παρακολούθησης που μπορούν να εντοπίσουν ασυνήθιστα μοτίβα στη συμπεριφορά του διακομιστή, ακόμη και αν το κακόβουλο λογισμικό προσπαθεί ενεργά να κρυφτεί.