मल्टी-लाइसेंस छूट उद्धरण
कंप्यूटर सुरक्षा पर्फेक्टल मैलवेयर हजारों लिनक्स सर्वरों को संक्रमित करने...

पर्फेक्टल मैलवेयर हजारों लिनक्स सर्वरों को संक्रमित करने वाला एक खामोश खतरा बन गया है

Mura से कंप्यूटर सुरक्षा तक
अनुवाद करने के लिए:
हिन्दी

एक्वा सिक्योरिटी द्वारा हाल ही में की गई चौंकाने वाली खोज में, Perfctl नामक एक गुप्त मैलवेयर तीन साल से अधिक समय से लिनक्स सर्वर को सक्रिय रूप से लक्षित कर रहा है, सर्वर की गलत कॉन्फ़िगरेशन और कमजोरियों की दरारों से फिसल रहा है। इस परिष्कृत मैलवेयर ने हजारों सिस्टम को खतरे में डाल दिया है, जो क्रिप्टोकरेंसी को माइन करने के लिए चोरी की रणनीति और संसाधनों को हाईजैक करने पर ध्यान केंद्रित करता है। यहाँ इस मैलवेयर परिवार के बारे में आपको जो कुछ भी जानना चाहिए, वह रडार के नीचे उड़ रहा है।

पर्फक्टल कैसे काम करता है

Perfctl लगातार पहुँच स्थापित करने के लिए Linux सर्वर में 20,000 से अधिक ज्ञात कमज़ोरियों और गलत कॉन्फ़िगरेशन का फ़ायदा उठाता है। एक बार अंदर जाने के बाद, यह तुरंत अलार्म नहीं बजाता। इसके बजाय, यह चुपचाप काम करता है, खुद को छिपाने के लिए रूटकिट का उपयोग करता है और केवल तभी सक्रिय होता है जब सर्वर निष्क्रिय होता है। इसके कमांड-एंड-कंट्रोल (C&C) इंफ्रास्ट्रक्चर के साथ संचार को यूनिक्स सॉकेट और टोर नेटवर्क के माध्यम से सावधानीपूर्वक प्रबंधित किया जाता है, जिससे यह सुनिश्चित होता है कि बाहरी कमांड का पता लगाना मुश्किल है।

एक बार जब मैलवेयर सिस्टम के अंदर पहुंच जाता है, तो यह एक बैकडोर बनाता है, विशेषाधिकारों को बढ़ाता है और अपने ऑपरेटरों को संक्रमित सर्वर को दूर से नियंत्रित करने की अनुमति देता है। वहां से, Perfctl टोही के लिए उपकरण तैनात करता है, एक क्रिप्टोकरेंसी माइनर को छोड़ता है, और समझौता किए गए सिस्टम से संसाधनों को चुराने के लिए प्रॉक्सी-जैकिंग सॉफ़्टवेयर का उपयोग करता है। इसके ऑपरेटर अतिरिक्त मैलवेयर भी तैनात करते हैं, जिससे ये संक्रमित सर्वर अधिक नापाक गतिविधियों के लिए प्रजनन स्थल बन जाते हैं।

चोरी और दृढ़ता Perfctl की गुप्तता की कुंजी है

Perfctl को सबसे बढ़कर एक चीज़ के लिए डिज़ाइन किया गया है: छिपा रहना। यह सिस्टम स्क्रिप्ट को संशोधित करता है ताकि यह सुनिश्चित हो सके कि यह वैध कार्यभार से पहले चले, जिससे सर्वर पर इसकी पकड़ बनी रहे। यह विभिन्न प्रमाणीकरण कार्यों में भी शामिल है, जिससे यह पासवर्ड जाँच या लॉग क्रेडेंशियल को बायपास करने की अनुमति देता है, जिससे हमलावरों को संवेदनशील डेटा तक और अधिक पहुँच मिलती है। मैलवेयर उपयोगकर्ता गतिविधि का पता लगाने पर अपने संचालन को निलंबित करने तक भी जाता है, जिससे यह प्रशासकों के लिए लगभग अदृश्य हो जाता है।

पैक, स्ट्रिप्ड और एन्क्रिप्टेड, Perfctl के बाइनरी को पता लगाने और रिवर्स इंजीनियरिंग से बचने के लिए डिज़ाइन किया गया है। इसके निर्माता यह सुनिश्चित करने के लिए बहुत आगे बढ़ गए हैं कि पारंपरिक रक्षा तंत्र इसके खिलाफ काम नहीं करेंगे। मामले को बदतर बनाने के लिए, Perfctl केवल सिस्टम से समझौता करने से संतुष्ट नहीं है - यह सक्रिय रूप से सर्वर पर अन्य मैलवेयर की तलाश करता है और उन्हें समाप्त करने का प्रयास करता है, यह सुनिश्चित करता है कि यह सिस्टम पर चलने वाला एकमात्र मैलवेयर है।

भेद्यता: CVE-2021-4043 का शोषण

Perfctl के लिए महत्वपूर्ण प्रवेश बिंदुओं में से एक ज्ञात भेद्यता के माध्यम से है: CVE-2021-4043। यह ओपन-सोर्स मल्टीमीडिया फ्रेमवर्क Gpac में एक मध्यम-गंभीरता वाला नल पॉइंटर डेरेफ़रेंस बग है। Perfctl इस भेद्यता का उपयोग अपने विशेषाधिकारों को बढ़ाने के लिए करता है, रूट एक्सेस प्राप्त करने का प्रयास करता है। हालाँकि बग को हाल ही में CISA की ज्ञात शोषित भेद्यता सूची में जोड़ा गया था, लेकिन जंगली में इसके चल रहे शोषण के कारण यह इस मैलवेयर का लक्ष्य बना हुआ है।

एक बार जब Perfctl को एक्सेस मिल जाता है, तो यह संक्रमित सिस्टम में फैल जाता है, खुद को कई स्थानों पर कॉपी कर लेता है, और यहां तक कि संशोधित Linux यूटिलिटीज को भी छोड़ देता है, जो यूजरलैंड रूटकिट के रूप में कार्य करते हैं। ये यूटिलिटीज इसके संचालन को और अधिक छिपा देती हैं और क्रिप्टोमाइनर को पृष्ठभूमि में बिना किसी की नजर में आए चलने देती हैं।

हमले का दायरा

परफक्टल की पहुंच व्यापक है, एक्वा सिक्योरिटी ने हमलों में इस्तेमाल किए गए तीन डाउनलोड सर्वर और कई समझौता किए गए वेबसाइटों की पहचान की है। परफक्टल के पीछे के खतरे वाले अभिनेता उजागर कॉन्फ़िगरेशन फ़ाइलों और रहस्यों की खोज करने के लिए लगभग 20,000 प्रविष्टियों वाली निर्देशिका ट्रैवर्सल फ़ज़िंग सूचियों का उपयोग करते हैं। इससे यह स्पष्ट होता है कि हमलावर केवल यादृच्छिक कमजोरियों पर निर्भर नहीं हैं, बल्कि शोषण करने के लिए व्यवस्थित रूप से गलत कॉन्फ़िगरेशन की खोज कर रहे हैं।

क्या किया जा सकता है?

परफक्टल की खोज लिनक्स सर्वर पर सुरक्षित कॉन्फ़िगरेशन बनाए रखने और ज्ञात कमजोरियों को जल्द से जल्द पैच करने के महत्व को उजागर करती है। सिस्टम प्रशासकों को असामान्य गतिविधि के लिए अपने सिस्टम का नियमित रूप से ऑडिट करना चाहिए, विशेष रूप से निष्क्रिय अवधि के दौरान, और संदिग्ध नेटवर्क ट्रैफ़िक की निगरानी करनी चाहिए जो रूटकिट या क्रिप्टोक्यूरेंसी माइनर की उपस्थिति का संकेत दे सकता है।

Perfctl की परिष्कृत प्रकृति को देखते हुए, पारंपरिक पहचान तंत्र पर्याप्त नहीं हो सकते हैं। संगठनों को उन्नत खतरा पहचान उपकरण और निगरानी समाधान लागू करने पर विचार करना चाहिए जो सर्वर व्यवहार में असामान्य पैटर्न की पहचान कर सकते हैं, भले ही मैलवेयर सक्रिय रूप से छिपने की कोशिश कर रहा हो।

लोड हो रहा है...