A Perfctl rosszindulatú program néma fenyegetéssé válik, amely Linux szerverek ezreit fertőzi meg
Az Aqua Security legutóbbi riasztó felfedezése szerint a Perfctl nevű lopakodó rosszindulatú program több mint három éve aktívan megcélozza a Linux szervereket, átcsúszott a szerver hibás konfigurációján és sebezhetőségén. Ez a kifinomult rosszindulatú program több ezer rendszert kompromittált, az adókijátszási taktikákra és az erőforrások eltérítésére összpontosítva a kriptovaluta bányászatához. Íme, amit tudnia kell erről a rosszindulatú programcsaládról, amely a radar alatt repül.
Tartalomjegyzék
Hogyan működik a Perfctl
A Perfctl több mint 20 000 ismert sebezhetőséget és hibás konfigurációt használ ki a Linux szervereken, hogy állandó hozzáférést biztosítson. Ha bekerült, nem riaszt azonnal. Ehelyett csendesen működik, rootkitet használva elrejti magát, és csak akkor aktiválódik, ha a szerver tétlen. A parancs- és vezérlési (C&C) infrastruktúrával való kommunikáció gondosan menedzselve egy Unix-aljzaton és a Tor-hálózaton keresztül történik, így biztosítva, hogy a külső parancsok nehezen követhetők.
Amint a rosszindulatú program bekerült a rendszerbe, egy hátsó ajtót hoz létre, növeli a jogosultságokat, és lehetővé teszi az üzemeltetők számára, hogy távolról irányítsák a fertőzött szervert. Innentől kezdve a Perfctl eszközöket telepít a felderítéshez, eldob egy kriptovaluta bányászt, és proxy-jack szoftverrel lopja el az erőforrásokat a feltört rendszerekből. Üzemeltetői további rosszindulatú programokat is telepítenek, így ezek a fertőzött szerverek táptalajokká válnak az aljasabb tevékenységekhez.
A kijátszás és a kitartás a kulcs a Perfctl lopakodásához
A Perfctl-t egy dologra tervezték, mindenekelőtt: rejtve maradni. Módosítja a rendszerparancsfájlokat, hogy biztosítsa, hogy a törvényes munkaterhelés előtt fussanak, megőrizve a fogást a szerveren. Különféle hitelesítési funkciókhoz is kapcsolódik, lehetővé téve a jelszó-ellenőrzések megkerülését vagy akár a hitelesítő adatok naplózását, így a támadók további hozzáférést biztosítanak az érzékeny adatokhoz. A kártevő még azt is eléri, hogy felfüggeszti a működését, ha felhasználói tevékenységet észlel, így szinte láthatatlanná válik a rendszergazdák számára.
A Perfctl csomagolt, eltávolított és titkosított binárisai az észlelés és a visszafejtés elkerülésére készültek. Alkotói mindent megtettek annak érdekében, hogy a hagyományos védekezési mechanizmusok ne működjenek ellene. Tovább rontja a helyzetet, hogy a Perfctl nemcsak a rendszer kompromittálásával elégszik meg – aktívan keres más rosszindulatú programokat a szerveren, és megpróbálja megszüntetni azokat, biztosítva, hogy ez legyen az egyetlen rosszindulatú program, amely a rendszeren fut.
A biztonsági rés: CVE-2021-4043 Kihasználva
A Perfctl egyik kritikus belépési pontja egy ismert sérülékenységen keresztül érhető el: CVE-2021-4043. Ez egy közepes súlyosságú Null pointer hivatkozási hiba a nyílt forráskódú Gpac multimédiás keretrendszerben. A Perfctl ezt a sérülékenységet arra használja, hogy kiterjessze jogosultságait, és megpróbál root hozzáférést szerezni. Bár a hibát a közelmúltban felvették a CISA Known Exploited Vulnerabilities katalógusába, továbbra is célpontja marad ennek a rosszindulatú programnak, mivel folyamatosan használják a természetben.
Amint a Perfctl hozzáférést nyer, átterjed a fertőzött rendszeren, több helyre másolja magát, és még a módosított Linux segédprogramokat is eldobja, amelyek userland rootkitként működnek. Ezek a segédprogramok tovább álcázzák a műveleteket, és lehetővé teszik, hogy a kriptominer észrevétlenül futhasson a háttérben.
A támadás hatóköre
A Perfctl hatóköre széles, az Aqua Security három, a támadásokhoz használt letöltőkiszolgálót és egy csomó feltört webhelyet azonosított. A Perfctl mögött álló fenyegetés szereplői közel 20 000 bejegyzést tartalmazó könyvtárbejárási összemosó listák segítségével keresik a nyilvánosságra hozott konfigurációs fájlokat és titkokat. Ez egyértelművé teszi, hogy a támadók nem csak véletlenszerű sebezhetőségekre hagyatkoznak, hanem szisztematikusan keresik a kihasználható hibás konfigurációkat.
Mit lehet tenni?
A Perfctl felfedezése rávilágít a biztonságos konfigurációk fenntartásának fontosságára a Linux-kiszolgálókon és az ismert sebezhetőségek mielőbbi befoltozásának fontosságára. A rendszeradminisztrátoroknak rendszeresen ellenőrizniük kell rendszereiket szokatlan tevékenységre, különösen tétlen időszakokban, és figyelniük kell a gyanús hálózati forgalmat, amely rootkit vagy kriptovaluta bányász jelenlétét jelezheti.
Tekintettel a Perfctl kifinomult természetére, előfordulhat, hogy a hagyományos észlelési mechanizmusok nem elegendőek. A szervezeteknek fontolóra kell venniük olyan fejlett fenyegetésészlelő eszközök és megfigyelési megoldások bevezetését, amelyek képesek azonosítani a szokatlan mintákat a szerver viselkedésében, még akkor is, ha a rosszindulatú program aktívan próbál elrejtőzni.