Perfctl pahavarast saab vaikne oht, mis nakatab tuhandeid Linuxi servereid
Aqua Security hiljutise murettekitava avastuse käigus on vargsi pahavara nimega Perfctl juba üle kolme aasta aktiivselt Linuxi servereid sihikule võtnud, libisedes läbi serveri valekonfiguratsiooni ja haavatavuste vahel. See keerukas pahavara on ohustanud tuhandeid süsteeme, keskendudes krüptovaluuta kaevandamiseks kõrvalehoidmistaktikatele ja ressursside kaaperdamisele. Siin on, mida peate teadma selle radari all lendava pahavaraperekonna kohta.
Sisukord
Kuidas Perfctl töötab
Perfctl kasutab püsiva juurdepääsu loomiseks ära rohkem kui 20 000 teadaolevat turvaauku ja väärkonfiguratsiooni Linuxi serverites. Kui see on sees, ei tekita see kohe häireid. Selle asemel töötab see vaikselt, kasutades enda peitmiseks juurkomplekti ja aktiveerub ainult siis, kui server on jõude. Suhtlust selle käsu- ja juhtimise infrastruktuuriga hallatakse hoolikalt Unixi pistikupesa ja Tor-võrgu kaudu, tagades, et väliseid käske on raske jälgida.
Kui pahavara on süsteemi sees, loob see tagaukse, suurendades privileege ja võimaldades selle operaatoritel nakatunud serverit eemalt juhtida. Sealt edasi juurutab Perfctl luureks tööriistu, loobub krüptovaluuta kaevandajast ja kasutab puhverserveri sissemurdmise tarkvara, et varastada ressursse ohustatud süsteemidest. Selle operaatorid juurutavad ka täiendavat pahavara, muutes need nakatunud serverid kasvulavaks kurjemateks tegevusteks.
Kõrvalehoidmine ja püsivus on Perfctli varguse võti
Perfctl on loodud ühe asja jaoks ennekõike: peitu jäämiseks. See muudab süsteemi skripte tagamaks, et see töötab enne seaduslikku töökoormust, säilitades oma haarde serveris. See haakub ka erinevate autentimisfunktsioonidega, võimaldades paroolikontrollist mööda minna või isegi mandaate logida, andes ründajatele täiendava juurdepääsu tundlikele andmetele. Pahavara ulatub isegi oma tegevuse peatamiseni, kui see tuvastab kasutaja tegevuse, muutes selle administraatoritele peaaegu nähtamatuks.
Pakitud, eemaldatud ja krüptitud Perfctli kahendfailid on loodud tuvastamisest ja pöördprojekteerimisest kõrvale hoidmiseks. Selle loojad on näinud palju vaeva tagamaks, et traditsioonilised kaitsemehhanismid selle vastu ei töötaks. Asja teeb hullemaks see, et Perfctl ei ole rahul ainult süsteemi ohustamisega – ta otsib aktiivselt serverist muud pahavara ja püüab neid sulgeda, tagades, et see on ainus süsteemis töötav pahavara.
Haavatavus: CVE-2021-4043 ära kasutatud
Üks Perfctli kriitilisi sisenemispunkte on tuntud haavatavuse kaudu: CVE-2021-4043. See on avatud lähtekoodiga multimeediumiraamistiku Gpac keskmise raskusastmega null-osuti viitamise viga. Perfctl kasutab seda haavatavust oma õiguste suurendamiseks, püüdes hankida juurjuurdepääsu. Kuigi viga lisati hiljuti CISA tuntud ärakasutatud haavatavuste kataloogi, jääb see selle pahavara sihtmärgiks, kuna seda kasutatakse looduses.
Kui Perfctl saab juurdepääsu, levib see nakatunud süsteemis, kopeerides end mitmesse asukohta ja isegi loobudes muudetud Linuxi utiliitidest, mis toimivad kasutajamaa juurkomplektidena. Need utiliidid varjavad selle toiminguid veelgi ja võimaldavad krüptomeeril taustal märkamatult töötada.
Rünnaku ulatus
Perfctli haare on lai: Aqua Security tuvastab kolm rünnakutes kasutatud allalaadimisserverit ja hulga ohustatud veebisaite. Perfctli taga olevad ohutegijad kasutavad paljastatud konfiguratsioonifailide ja saladuste otsimiseks ligi 20 000 kirjet sisaldavaid kataloogide läbimise loendeid. See teeb selgeks, et ründajad ei tugine ainult juhuslikele haavatavustele, vaid otsivad süstemaatiliselt väärkonfiguratsioone, mida ära kasutada.
Mida saab teha?
Perfctli avastamine rõhutab Linuxi serverites turvaliste konfiguratsioonide säilitamise ja teadaolevate haavatavuste võimalikult kiire lappimise tähtsust. Süsteemiadministraatorid peaksid regulaarselt kontrollima oma süsteeme ebatavalise tegevuse suhtes, eriti jõudeoleku perioodidel, ja jälgima kahtlast võrguliiklust, mis võib viidata juurkomplekti või krüptovaluuta kaevandaja olemasolule.
Arvestades Perfctli keerukust, ei pruugi traditsioonilistest tuvastamismehhanismidest piisata. Organisatsioonid peaksid kaaluma täiustatud ohutuvastustööriistade ja seirelahenduste rakendamist, mis suudavad tuvastada serveri käitumises ebatavalisi mustreid, isegi kui pahavara üritab end aktiivselt peita.