התוכנה הזדונית של Perfctl הופכת לאיום השקט שמדביק אלפי שרתי לינוקס
בתגלית מדאיגה לאחרונה על ידי Aqua Security, תוכנה זדונית חמקנית בשם Perfctl מכוונת באופן פעיל לשרתי לינוקס כבר למעלה משלוש שנים, וחומקת מבעד לסדקים של הגדרות שגויות ופגיעויות של שרתים. תוכנה זדונית מתוחכמת זו פגעה אלפי מערכות, תוך התמקדות בטקטיקות התחמקות וחטיפת משאבים לכריית מטבעות קריפטוגרפיים. הנה מה שאתה צריך לדעת על משפחת תוכנות זדוניות זו שעפה מתחת לרדאר.
תוכן העניינים
איך Perfctl פועל
Perfctl מנצל יותר מ-20,000 פגיעויות ידועות ותצורות שגויות בשרתי לינוקס כדי ליצור גישה מתמשכת. ברגע שנכנס, זה לא מעורר מיד אזעקה. במקום זאת, הוא פועל בשקט, משתמש ב-rootkit כדי להסתיר את עצמו ומופעל רק כאשר השרת אינו פעיל. התקשורת עם תשתית הפיקוד והשליטה (C&C) שלה מנוהלת בקפידה דרך שקע Unix ורשת Tor, מה שמבטיח שקשה לעקוב אחר פקודות חיצוניות.
ברגע שהתוכנה הזדונית נמצאת בתוך המערכת, היא יוצרת דלת אחורית, מסלימה את ההרשאות ומאפשרת למפעיליה לשלוט בשרת הנגוע מרחוק. משם, Perfctl פורס כלים לסיור, מפיל כורה מטבעות קריפטוגרפיים ומשתמש בתוכנת פריצת פרוקסי כדי לגנוב משאבים ממערכות שנפגעו. המפעילים שלה גם פורסים תוכנות זדוניות נוספות, מה שהופך את השרתים הנגועים הללו לשטח גידול לפעילויות מרושעות יותר.
התחמקות והתמדה היא המפתח להתגנבות של Perfctl
Perfctl מתוכנן לדבר אחד מעל הכל: להישאר מוסתר. הוא משנה סקריפטים של המערכת כדי להבטיח שהוא פועל לפני עומסי עבודה לגיטימיים, תוך שמירה על אחיזתו בשרת. הוא גם מתחבר לפונקציות אימות שונות, ומאפשר לו לעקוף בדיקות סיסמאות או אפילו לרשום אישורים, מה שמעניק לתוקפים גישה נוספת לנתונים רגישים. התוכנה הזדונית אפילו מגיעה עד להשהיית הפעולות שלה אם היא מזהה פעילות משתמשים, מה שהופך אותה כמעט בלתי נראית למנהלי מערכת.
ארוזות, חשופות ומוצפנות, הקבצים הבינאריים של Perfctl נועדו להתחמק מזיהוי והנדסה לאחור. יוצריו עשו מאמצים רבים כדי להבטיח שמנגנוני הגנה מסורתיים לא יפעלו נגדו. כדי להחמיר את המצב, Perfctl לא מסתפקת רק בפגיעה במערכת - היא מחפשת באופן פעיל אחר תוכנות זדוניות אחרות בשרת ומנסה לסיים אותן, ומבטיחה שהיא התוכנה הזדונית היחידה שפועלת במערכת.
הפגיעות: CVE-2021-4043 ניצלה
אחת מנקודות הכניסה הקריטיות עבור Perfctl היא דרך פגיעות ידועה: CVE-2021-4043. זהו באג בדרגת חומרה בינונית של Null pointer dereference במסגרת מולטימדיה בקוד פתוח Gpac. Perfctl משתמש בפגיעות זו כדי להסלים את ההרשאות שלה, בניסיון להשיג גישת שורש. למרות שהבאג התווסף לאחרונה לקטלוג ה- Known Exploited Vulnerabilities של CISA, הוא נותר יעד לתוכנה זדונית זו בשל הניצול המתמשך שלו בטבע.
ברגע ש-Perfctl משיגה גישה, הוא מתפשט על פני המערכת הנגועה, מעתיק את עצמו למספר מיקומים, ואפילו מוריד כלי עזר של לינוקס שהשתנו, הפועלים כ-Userland rootkits. כלי עזר אלה מסתירים עוד יותר את פעולותיו ומאפשרים לקריפטומינר לרוץ ברקע ללא תשומת לב.
היקף המתקפה
טווח ההגעה של Perfctl רחב, כאשר Aqua Security מזהה שלושה שרתי הורדה ששימשו בהתקפות ושלל אתרים שנפגעו. שחקני האיום מאחורי Perfctl משתמשים ברשימות מטושטשות של מעבר ספריות המכילות כמעט 20,000 ערכים כדי לחפש קבצי תצורה וסודות חשופים. זה מבהיר שהתוקפים לא מסתמכים רק על פגיעויות אקראיות אלא מחפשים באופן שיטתי אחר תצורות שגויות לניצול.
מה ניתן לעשות?
הגילוי של Perfctl מדגיש את החשיבות של שמירה על תצורות מאובטחות בשרתי לינוקס ותיקון נקודות תורפה ידועות בהקדם האפשרי. מנהלי מערכת צריכים לבדוק באופן קבוע את המערכות שלהם לאיתור פעילות חריגה, במיוחד בתקופות סרק, ולנטר תעבורת רשת חשודה שעלולה להצביע על נוכחות של rootkit או כורה מטבעות קריפטוגרפיים.
בהתחשב באופי המתוחכם של Perfctl, מנגנוני זיהוי מסורתיים עשויים שלא להספיק. ארגונים צריכים לשקול יישום כלים מתקדמים לזיהוי איומים ופתרונות ניטור שיכולים לזהות דפוסים חריגים בהתנהגות השרת, גם אם התוכנה הזדונית מנסה להסתיר באופן פעיל.