សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ មេរោគ Perfctl...

មេរោគ Perfctl ក្លាយជាការគំរាមកំហែងដ៏ស្ងាត់ជ្រងំដែលឆ្លងមេរោគ Linux Servers រាប់ពាន់នាក់។

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

នៅក្នុងការរកឃើញដ៏គួរឱ្យព្រួយបារម្ភនាពេលថ្មីៗនេះដោយ Aqua Security មេរោគបំបាំងកាយឈ្មោះ Perfctl បាននិងកំពុងកំណត់គោលដៅយ៉ាងសកម្មលើម៉ាស៊ីនមេ Linux អស់រយៈពេលជាង 3 ឆ្នាំមកហើយ ដោយឆ្លងកាត់ការបង្ក្រាបនៃការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេខុស និងភាពងាយរងគ្រោះ។ មេរោគដ៏ស្មុគ្រស្មាញនេះបានសម្រុះសម្រួលប្រព័ន្ធរាប់ពាន់ ដោយផ្តោតលើយុទ្ធសាស្ត្រគេចវេស និងលួចយកធនធានដើម្បីរុករករូបិយប័ណ្ណគ្រីបតូ។ នេះជាអ្វីដែលអ្នកត្រូវដឹងអំពីគ្រួសារមេរោគនេះដែលកំពុងហោះហើរនៅក្រោមរ៉ាដា។

របៀបដែល Perfctl ដំណើរការ

Perfctl កេងប្រវ័ញ្ចភាពងាយរងគ្រោះជាង 20,000 ដែលគេស្គាល់ និងការកំណត់រចនាសម្ព័ន្ធខុសនៅក្នុងម៉ាស៊ីនមេលីនុច ដើម្បីបង្កើតការចូលប្រើប្រាស់ជាប់លាប់។ ពេលនៅខាងក្នុង វាមិនរោទិ៍ភ្លាមៗទេ។ ផ្ទុយទៅវិញ វាដំណើរការដោយស្ងៀមស្ងាត់ ដោយប្រើ rootkit ដើម្បីលាក់ខ្លួន ហើយដំណើរការតែនៅពេលដែលម៉ាស៊ីនមេនៅទំនេរ។ ការប្រាស្រ័យទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រង (C&C) របស់វាត្រូវបានគ្រប់គ្រងយ៉ាងប្រុងប្រយ័ត្នតាមរយៈរន្ធ Unix និងបណ្តាញ Tor ដោយធានាថាពាក្យបញ្ជាខាងក្រៅពិបាកតាមដាន។

នៅពេលដែលមេរោគស្ថិតនៅក្នុងប្រព័ន្ធ វាបង្កើត backdoor បង្កើនសិទ្ធិ និងអនុញ្ញាតឱ្យប្រតិបត្តិកររបស់វាគ្រប់គ្រងម៉ាស៊ីនមេដែលមានមេរោគពីចម្ងាយ។ ពីទីនោះ Perfctl ដាក់ពង្រាយឧបករណ៍សម្រាប់ការឈ្លបយកការណ៍ ទម្លាក់អ្នករុករករូបិយបណ្ណរូបិយវត្ថុ និងប្រើប្រាស់កម្មវិធីប្រូកស៊ី Jacking ដើម្បីលួចធនធានពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ប្រតិបត្តិកររបស់វាក៏ដាក់ពង្រាយមេរោគបន្ថែមផងដែរ ដែលធ្វើឱ្យម៉ាស៊ីនមេដែលឆ្លងមេរោគទាំងនេះបង្កើតមូលដ្ឋានសម្រាប់សកម្មភាពមិនសមរម្យបន្ថែមទៀត។

ការគេចវេស និងការតស៊ូ គឺជាគន្លឹះនៃការលួចលាក់របស់ Perfctl

Perfctl ត្រូវ​បាន​បង្កើត​ឡើង​សម្រាប់​រឿង​មួយ​ដែល​លើស​ពី​អ្វី​ផ្សេង​ទៀត​គឺ​ការ​លាក់​ទុក។ វាកែប្រែស្គ្រីបប្រព័ន្ធ ដើម្បីធានាថាវាដំណើរការមុនពេលបន្ទុកការងារស្របច្បាប់ ដោយរក្សាការក្តាប់របស់វានៅលើម៉ាស៊ីនមេ។ វាក៏ភ្ជាប់ទៅនឹងមុខងារផ្ទៀងផ្ទាត់ផ្សេងៗ ដែលអនុញ្ញាតឱ្យវាឆ្លងកាត់ការត្រួតពិនិត្យពាក្យសម្ងាត់ ឬសូម្បីតែការកត់ត្រាព័ត៌មានសម្ងាត់ ដែលផ្តល់ឱ្យអ្នកវាយប្រហារចូលប្រើប្រាស់ទិន្នន័យរសើបបន្ថែមទៀត។ មេរោគនេះថែមទាំងអាចបន្តរហូតដល់ការផ្អាកប្រតិបត្តិការរបស់វា ប្រសិនបើវារកឃើញសកម្មភាពរបស់អ្នកប្រើប្រាស់ ដែលធ្វើឱ្យអ្នកគ្រប់គ្រងស្ទើរតែមើលមិនឃើញ។

កញ្ចប់ ដក និងអ៊ិនគ្រីប ប្រព័ន្ធគោលពីររបស់ Perfctl ត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញ និងវិស្វកម្មបញ្ច្រាស។ អ្នកបង្កើតរបស់វាបានឆ្លងកាត់យ៉ាងយូរដើម្បីធានាថាយន្តការការពារបែបប្រពៃណីនឹងមិនដំណើរការប្រឆាំងនឹងវាទេ។ ដើម្បីធ្វើឱ្យបញ្ហាកាន់តែអាក្រក់ Perfctl មិនត្រឹមតែពេញចិត្តនឹងការសម្របសម្រួលប្រព័ន្ធនោះទេ វាបានស្វែងរកមេរោគផ្សេងទៀតនៅលើម៉ាស៊ីនមេយ៉ាងសកម្ម ហើយព្យាយាមបិទពួកវា ដោយធានាថាវាជាមេរោគតែមួយគត់ដែលកំពុងដំណើរការនៅលើប្រព័ន្ធ។

ភាពងាយរងគ្រោះ៖ CVE-2021-4043 ត្រូវបានកេងប្រវ័ញ្ច

ចំណុចចូលសំខាន់មួយសម្រាប់ Perfctl គឺតាមរយៈភាពងាយរងគ្រោះដែលគេស្គាល់៖ CVE-2021-4043។ នេះ​គឺ​ជា​កំហុស​នៃ​ការ​បដិសេធ​ទ្រនិច​ទ្រនិច Null កម្រិត​មធ្យម​កម្រិត​មធ្យម​ក្នុង​ក្របខណ្ឌ​ពហុព័ត៌មាន​ប្រភពបើកចំហ Gpac ។ Perfctl ប្រើប្រាស់ភាពងាយរងគ្រោះនេះ ដើម្បីពង្រីកសិទ្ធិរបស់ខ្លួន ដោយព្យាយាមទទួលបានសិទ្ធិជា root ។ ទោះបីជាមេរោគនេះត្រូវបានបន្ថែមថ្មីៗនេះទៅក្នុងកាតាឡុក CISA's Known Exploited Vulnerabilities ក៏ដោយ វានៅតែជាគោលដៅសម្រាប់មេរោគនេះ ដោយសារតែការកេងប្រវ័ញ្ចដែលកំពុងបន្តនៅក្នុងព្រៃ។

នៅពេលដែល Perfctl ទទួលបានសិទ្ធិចូលប្រើ វារីករាលដាលពាសពេញប្រព័ន្ធមេរោគ ចម្លងខ្លួនវាទៅទីតាំងជាច្រើន ហើយថែមទាំងទម្លាក់ឧបករណ៍ប្រើប្រាស់លីនុចដែលបានកែប្រែ ដែលដើរតួជា rootkits អ្នកប្រើប្រាស់។ ឧបករណ៍ប្រើប្រាស់ទាំងនេះបន្ថែមនូវប្រតិបត្តិការរបស់វា និងអនុញ្ញាតឱ្យ cryptominer ដំណើរការក្នុងផ្ទៃខាងក្រោយដោយមិនមាននរណាកត់សម្គាល់។

វិសាលភាពនៃការវាយប្រហារ

ការឈានទៅដល់របស់ Perfctl គឺទូលំទូលាយ ដោយ Aqua Security កំណត់អត្តសញ្ញាណម៉ាស៊ីនមេទាញយកចំនួន 3 ដែលប្រើក្នុងការវាយប្រហារ និងគេហទំព័រមួយចំនួនដែលត្រូវបានសម្របសម្រួល។ តួអង្គគំរាមកំហែងនៅពីក្រោយ Perfctl ប្រើប្រាស់បញ្ជីរាយប៉ាយឆ្លងកាត់ដែលមានធាតុជិត 20,000 ដើម្បីស្វែងរកឯកសារកំណត់រចនាសម្ព័ន្ធដែលលាតត្រដាង និងអាថ៌កំបាំង។ នេះធ្វើឱ្យវាច្បាស់ថាអ្នកវាយប្រហារមិនគ្រាន់តែពឹងផ្អែកលើភាពងាយរងគ្រោះដោយចៃដន្យប៉ុណ្ណោះទេ ប៉ុន្តែកំពុងស្វែងរកជាប្រព័ន្ធសម្រាប់ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវដើម្បីកេងប្រវ័ញ្ច។

តើអាចធ្វើអ្វីបាន?

ការរកឃើញរបស់ Perfctl បង្ហាញពីសារៈសំខាន់នៃការរក្សាការកំណត់សុវត្ថិភាពនៅលើម៉ាស៊ីនមេលីនុច និងជួសជុលភាពងាយរងគ្រោះដែលគេស្គាល់ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន។ អ្នកគ្រប់គ្រងប្រព័ន្ធគួរតែធ្វើសវនកម្មប្រព័ន្ធរបស់ពួកគេឱ្យបានទៀងទាត់សម្រាប់សកម្មភាពមិនធម្មតា ជាពិសេសក្នុងអំឡុងពេលទំនេរ និងតាមដានចរាចរណ៍បណ្តាញគួរឱ្យសង្ស័យដែលអាចបង្ហាញពីវត្តមានរបស់ rootkit ឬ cryptocurrency miner ។

ដោយសារលក្ខណៈស្មុគ្រស្មាញនៃ Perfctl យន្តការរាវរកបែបប្រពៃណីប្រហែលជាមិនគ្រប់គ្រាន់ទេ។ អង្គការគួរពិចារណាលើការអនុវត្តឧបករណ៍ស្វែងរកការគំរាមកំហែងកម្រិតខ្ពស់ និងដំណោះស្រាយត្រួតពិនិត្យដែលអាចកំណត់អត្តសញ្ញាណលំនាំមិនធម្មតានៅក្នុងឥរិយាបថម៉ាស៊ីនមេ ទោះបីជាមេរោគកំពុងព្យាយាមលាក់យ៉ាងសកម្មក៏ដោយ។

កំពុង​ផ្ទុក...