Malware Perfctl postaje tiha prijetnja koja inficira tisuće Linux poslužitelja
U nedavnom alarmantnom otkriću tvrtke Aqua Security, prikriveni zlonamjerni softver pod nazivom Perfctl aktivno cilja na Linux poslužitelje više od tri godine, provlačeći se kroz pukotine pogrešnih konfiguracija poslužitelja i ranjivosti. Ovaj sofisticirani zlonamjerni softver ugrozio je tisuće sustava, fokusirajući se na taktike izbjegavanja i otmice resursa za rudarenje kriptovalute. Evo što trebate znati o ovoj obitelji malwarea koja prolazi ispod radara.
Sadržaj
Kako Perfctl radi
Perfctl iskorištava više od 20.000 poznatih ranjivosti i pogrešnih konfiguracija u Linux poslužiteljima za uspostavljanje trajnog pristupa. Kad jednom uđe, ne diže odmah uzbunu. Umjesto toga, radi tiho, koristeći rootkit da se sakrije i aktivira se samo kada je poslužitelj u mirovanju. Komunikacija s njegovom infrastrukturom upravljanja i kontrole (C&C) pažljivo se upravlja kroz Unix utičnicu i Tor mrežu, osiguravajući da je vanjskim naredbama teško ući u trag.
Nakon što zlonamjerni softver uđe u sustav, stvara stražnja vrata, eskalirajući privilegije i dopuštajući svojim operaterima da daljinski kontroliraju zaraženi poslužitelj. Odatle, Perfctl postavlja alate za izviđanje, ispušta rudar kriptovalute i koristi proxy-jacking softver za krađu resursa iz kompromitiranih sustava. Njegovi operateri također postavljaju dodatni zlonamjerni softver, čineći ove zaražene poslužitelje plodnim tlima za opake aktivnosti.
Izbjegavanje i upornost ključ su Perfctlove skrivenosti
Perfctl je projektiran za jednu stvar iznad svega: ostati skriven. Modificira sistemske skripte kako bi osigurao izvođenje prije legitimnih radnih opterećenja, zadržavajući kontrolu nad poslužiteljem. Također se povezuje s različitim funkcijama provjere autentičnosti, dopuštajući mu da zaobiđe provjere lozinki ili čak zabilježi vjerodajnice, dajući napadačima daljnji pristup osjetljivim podacima. Zlonamjerni softver čak obustavlja svoje operacije ako otkrije aktivnost korisnika, što ga čini gotovo nevidljivim administratorima.
Zapakirane, ogoljene i šifrirane, Perfctl-ove binarne datoteke dizajnirane su da izbjegnu otkrivanje i obrnuti inženjering. Njegovi kreatori su se jako potrudili kako bi osigurali da tradicionalni obrambeni mehanizmi neće djelovati protiv njega. Da stvari budu još gore, Perfctl se ne zadovoljava samo kompromitiranjem sustava — on aktivno traži druge zlonamjerne programe na poslužitelju i pokušava ih uništiti, osiguravajući da je to jedini zlonamjerni softver koji radi na sustavu.
Ranjivost: CVE-2021-4043 iskorištena
Jedna od kritičnih ulaznih točaka za Perfctl je kroz poznatu ranjivost: CVE-2021-4043. Ovo je pogreška dereferencije Null pokazivača srednje težine u multimedijskom okviru otvorenog koda Gpac. Perfctl koristi ovu ranjivost za eskalaciju svojih privilegija, pokušavajući dobiti root pristup. Iako je bug nedavno dodan u CISA-in katalog poznatih iskorištenih ranjivosti, i dalje je meta za ovaj zlonamjerni softver zbog njegovog kontinuiranog iskorištavanja u divljini.
Jednom kada Perfctl dobije pristup, širi se po zaraženom sustavu, kopirajući se na više lokacija, pa čak i izbacuje modificirane uslužne programe Linuxa, koji djeluju kao rootkitovi za korisničku zemlju. Ovi uslužni programi dodatno prikrivaju njegove operacije i omogućuju kriptominaru da radi u pozadini neprimijećeno.
Opseg napada
Doseg Perfctla je širok, a Aqua Security identificira tri poslužitelja za preuzimanje korištena u napadima i mnoštvo kompromitiranih web stranica. Akteri prijetnji koji stoje iza Perfctl-a koriste fuzzing popise koji sadrže gotovo 20.000 unosa za traženje izloženih konfiguracijskih datoteka i tajni. Ovo jasno daje do znanja da se napadači ne oslanjaju samo na nasumične ranjivosti, već sustavno traže pogrešne konfiguracije za iskorištavanje.
Što se može učiniti?
Otkriće Perfctla naglašava važnost održavanja sigurnih konfiguracija na Linux poslužiteljima i krpanja poznatih ranjivosti što je prije moguće. Administratori sustava trebali bi redovito provjeravati neuobičajene aktivnosti u svojim sustavima, osobito tijekom razdoblja mirovanja, i pratiti sumnjivi mrežni promet koji bi mogao ukazivati na prisutnost rootkita ili rudara kriptovalute.
S obzirom na sofisticiranu prirodu Perfctla, tradicionalni mehanizmi detekcije možda neće biti dovoljni. Organizacije bi trebale razmotriti implementaciju naprednih alata za otkrivanje prijetnji i rješenja za nadzor koji mogu prepoznati neobične obrasce u ponašanju poslužitelja, čak i ako se zlonamjerni softver aktivno pokušava sakriti.