قیمت چند مجوز تخفیف
امنیت کامپیوتر بدافزار Perfctl به تهدیدی خاموش تبدیل می شود که هزاران...

بدافزار Perfctl به تهدیدی خاموش تبدیل می شود که هزاران سرور لینوکس را آلوده می کند

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

در کشف هشداردهنده اخیر توسط Aqua Security، یک بدافزار مخفی به نام Perfctl بیش از سه سال است که به طور فعال سرورهای لینوکس را هدف قرار داده است و از شکاف های پیکربندی نادرست سرور و آسیب پذیری ها عبور کرده است. این بدافزار پیچیده هزاران سیستم را با تمرکز بر تاکتیک‌های فرار و ربودن منابع برای استخراج ارزهای دیجیتال به خطر انداخته است. در اینجا چیزی است که باید در مورد این خانواده بدافزار بدانید که زیر رادار پرواز می کنند.

نحوه عملکرد Perfctl

Perfctl از بیش از 20000 آسیب پذیری شناخته شده و پیکربندی نادرست در سرورهای لینوکس برای ایجاد دسترسی دائمی سوء استفاده می کند. پس از داخل شدن، بلافاصله آلارم به صدا در نمی آید. در عوض، بی‌صدا کار می‌کند و از یک روت‌کیت برای مخفی کردن خود استفاده می‌کند و تنها زمانی فعال می‌شود که سرور بیکار است. ارتباطات با زیرساخت فرمان و کنترل (C&C) آن به دقت از طریق سوکت یونیکس و شبکه Tor مدیریت می‌شود و اطمینان حاصل می‌کند که ردیابی دستورات خارجی دشوار است.

هنگامی که بدافزار در داخل سیستم قرار می گیرد، یک درب پشتی ایجاد می کند، امتیازات را افزایش می دهد و به اپراتورهای خود اجازه می دهد سرور آلوده را از راه دور کنترل کنند. از آنجا، Perfctl ابزارهایی را برای شناسایی مستقر می کند، یک ماینر ارز دیجیتال را کنار می گذارد و از نرم افزار جک پروکسی برای سرقت منابع از سیستم های در معرض خطر استفاده می کند. اپراتورهای آن همچنین بدافزارهای دیگری را مستقر می کنند که این سرورهای آلوده را به بستری برای فعالیت های شرورتر تبدیل می کند.

طفره رفتن و تداوم کلید پنهان کاری Perfctl است

Perfctl بیش از هر چیز برای یک چیز طراحی شده است: پنهان ماندن. اسکریپت‌های سیستم را تغییر می‌دهد تا اطمینان حاصل شود که قبل از بارهای کاری قانونی اجرا می‌شود و کنترل خود را بر روی سرور حفظ می‌کند. همچنین به توابع مختلف احراز هویت متصل می شود و به آن اجازه می دهد تا بررسی های رمز عبور یا حتی اعتبارنامه ها را دور بزند و به مهاجمان دسترسی بیشتری به داده های حساس می دهد. این بدافزار حتی تا آنجا پیش می‌رود که در صورت شناسایی فعالیت کاربر، فعالیت‌های خود را به حالت تعلیق در می‌آورد و تقریباً برای مدیران نامرئی می‌شود.

باینری های Perfctl بسته بندی شده، پاک شده و رمزگذاری شده برای فرار از تشخیص و مهندسی معکوس طراحی شده اند. سازندگان آن تمام تلاش خود را کرده اند تا اطمینان حاصل کنند که مکانیسم های دفاعی سنتی علیه آن کار نمی کنند. بدتر از همه، Perfctl فقط به به خطر انداختن یک سیستم رضایت نمی دهد، بلکه به طور فعال به دنبال بدافزارهای دیگر روی سرور می گردد و تلاش می کند تا آنها را خاتمه دهد و اطمینان حاصل کند که این تنها بدافزاری است که روی سیستم اجرا می شود.

آسیب پذیری: CVE-2021-4043 مورد سوء استفاده قرار گرفت

یکی از نقاط ورود حیاتی برای Perfctl از طریق یک آسیب پذیری شناخته شده است: CVE-2021-4043. این یک اشکال اشاره گر تهی با شدت متوسط در چارچوب چند رسانه ای منبع باز Gpac است. Perfctl از این آسیب‌پذیری برای افزایش امتیازات خود استفاده می‌کند و سعی می‌کند دسترسی ریشه‌ای را به دست آورد. اگرچه این باگ اخیراً به فهرست آسیب‌پذیری‌های شناخته شده CISA اضافه شده است، اما به دلیل بهره‌برداری مداوم از آن در طبیعت، همچنان هدف این بدافزار است.

هنگامی که Perfctl دسترسی پیدا می کند، در سراسر سیستم آلوده پخش می شود، خود را در چندین مکان کپی می کند، و حتی ابزارهای لینوکس اصلاح شده را که به عنوان روت کیت کاربر عمل می کنند، حذف می کند. این ابزارهای کاربردی بیشتر عملیات آن را پنهان می کنند و به cryptominer اجازه می دهند بدون توجه در پس زمینه اجرا شود.

دامنه حمله

دسترسی Perfctl گسترده است و Aqua Security سه سرور دانلود استفاده شده در حملات و تعداد زیادی از وب سایت های در معرض خطر را شناسایی کرده است. عوامل تهدید در پشت Perfctl از فهرست‌های مبهم پیمایش دایرکتوری حاوی نزدیک به 20000 ورودی برای جستجوی فایل‌ها و اسرار پیکربندی افشا شده استفاده می‌کنند. این به وضوح نشان می‌دهد که مهاجمان نه تنها به آسیب‌پذیری‌های تصادفی تکیه می‌کنند، بلکه به طور سیستماتیک به دنبال پیکربندی‌های نادرست برای سوءاستفاده هستند.

چه کاری می توان انجام داد؟

کشف Perfctl اهمیت حفظ تنظیمات ایمن در سرورهای لینوکس و اصلاح آسیب‌پذیری‌های شناخته شده در اسرع وقت را برجسته می‌کند. مدیران سیستم باید مرتباً سیستم‌های خود را از نظر فعالیت غیرمعمول، به‌ویژه در دوره‌های بیکاری، بررسی کنند و ترافیک شبکه مشکوکی را که می‌تواند نشان دهنده وجود روت‌کیت یا ماینر ارز دیجیتال باشد، نظارت کنند.

با توجه به ماهیت پیچیده Perfctl، مکانیسم های تشخیص سنتی ممکن است کافی نباشد. سازمان‌ها باید پیاده‌سازی ابزارهای پیشرفته تشخیص تهدید و راه‌حل‌های نظارتی را در نظر بگیرند که می‌توانند الگوهای غیرعادی در رفتار سرور را شناسایی کنند، حتی اگر بدافزار به طور فعال سعی در پنهان کردن آن داشته باشد.

بارگذاری...