다중 라이센스 할인 견적
컴퓨터 보안 Perfctl 맬웨어가 수천 대의 Linux 서버를 감염시키는 조용한 위협이 됨

Perfctl 맬웨어가 수천 대의 Linux 서버를 감염시키는 조용한 위협이 됨

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

Aqua Security에서 최근 발견한 놀라운 사실은 Perfctl 이라는 은밀한 맬웨어가 3년 이상 Linux 서버를 적극적으로 공격해 왔으며, 서버 구성 오류와 취약성의 틈새를 빠져나갔다는 것입니다. 이 정교한 맬웨어는 수천 개의 시스템을 손상시켰으며, 회피 전략과 암호화폐 채굴을 위한 리소스 하이재킹에 집중했습니다. 레이더 아래를 날고 있는 이 맬웨어 패밀리에 대해 알아야 할 사항은 다음과 같습니다.

Perfctl의 작동 방식

Perfctl은 Linux 서버에서 20,000개 이상의 알려진 취약점과 잘못된 구성을 악용하여 지속적인 액세스를 구축합니다. 일단 침투하면 즉시 경보를 울리지 않습니다. 대신 루트킷을 사용하여 자신을 숨기고 서버가 유휴 상태일 때만 활성화하여 조용히 작동합니다. 명령 및 제어(C&C) 인프라와의 통신은 Unix 소켓과 Tor 네트워크를 통해 신중하게 관리되므로 외부 명령을 추적하기 어렵습니다.

맬웨어가 시스템 내부에 들어가면 백도어를 만들어 권한을 확대하고 운영자가 감염된 서버를 원격으로 제어할 수 있도록 합니다. 거기서 Perfctl은 정찰 도구를 배포하고, 암호화폐 채굴자를 떨어뜨리고, 프록시 재킹 소프트웨어를 사용하여 손상된 시스템에서 리소스를 훔칩니다. 운영자는 또한 추가 맬웨어를 배포하여 이러한 감염된 서버를 더 사악한 활동의 온상으로 만듭니다.

회피와 끈기는 Perfctl의 은밀함의 핵심입니다.

Perfctl은 무엇보다도 숨겨진 상태를 유지하기 위해 설계되었습니다. 이는 시스템 스크립트를 수정하여 합법적인 워크로드보다 먼저 실행되도록 하고, 서버를 장악합니다. 또한 다양한 인증 기능에 연결되어 암호 검사를 우회하거나 자격 증명을 기록하여 공격자에게 민감한 데이터에 대한 추가 액세스를 제공합니다. 이 맬웨어는 사용자 활동을 감지하면 작업을 중단하기까지 하여 관리자에게 거의 보이지 않게 합니다.

패킹, 스트립, 암호화된 Perfctl 바이너리는 탐지 및 역엔지니어링을 회피하도록 설계되었습니다. 제작자는 기존 방어 메커니즘이 작동하지 않도록 많은 노력을 기울였습니다. 상황을 더 악화시키는 것은 Perfctl이 시스템을 손상시키는 데 만족하지 않는다는 것입니다. 서버에서 다른 맬웨어를 적극적으로 찾아 종료하려고 시도하여 시스템에서 실행되는 유일한 맬웨어가 되도록 합니다.

취약점: CVE-2021-4043 악용됨

Perfctl의 중요한 진입점 중 하나는 알려진 취약점인 CVE-2021-4043을 통한 것입니다. 이것은 오픈소스 멀티미디어 프레임워크 Gpac의 중간 심각도 Null 포인터 역참조 버그입니다. Perfctl은 이 취약점을 사용하여 권한을 확대하고 루트 액세스를 시도합니다. 이 버그는 최근 CISA의 알려진 악용 취약점 카탈로그에 추가되었지만, 야생에서 계속 악용되고 있어 이 맬웨어의 표적이 되고 있습니다.

Perfctl이 접근 권한을 얻으면 감염된 시스템 전체로 퍼져서 여러 위치에 자체를 복사하고, 심지어 사용자 영역 루트킷 역할을 하는 수정된 Linux 유틸리티를 드롭합니다. 이러한 유틸리티는 작업을 더욱 은폐하고 크립토마이너가 눈에 띄지 않게 백그라운드에서 실행될 수 있도록 합니다.

공격 범위

Perfctl의 영향력은 광범위하며, Aqua Security는 공격에 사용된 세 개의 다운로드 서버와 수많은 손상된 웹사이트를 식별했습니다. Perfctl의 배후에 있는 위협 행위자는 약 20,000개의 항목이 포함된 디렉토리 트래버설 퍼징 목록을 사용하여 노출된 구성 파일과 비밀을 검색합니다. 이를 통해 공격자는 무작위 취약성에 의존하는 것이 아니라 악용할 잘못된 구성을 체계적으로 검색하고 있다는 것이 분명해집니다.

무엇을 할 수 있을까?

Perfctl의 발견은 Linux 서버에서 보안 구성을 유지하고 알려진 취약성을 가능한 한 빨리 패치하는 것의 중요성을 강조합니다. 시스템 관리자는 특히 유휴 기간 동안 비정상적인 활동에 대해 시스템을 정기적으로 감사하고 루트킷이나 암호화폐 마이너의 존재를 나타낼 수 있는 의심스러운 네트워크 트래픽을 모니터링해야 합니다.

Perfctl의 정교한 특성을 감안할 때, 기존의 탐지 메커니즘으로는 충분하지 않을 수 있습니다. 조직은 악성 소프트웨어가 적극적으로 숨기려고 하더라도 서버 동작의 비정상적인 패턴을 식별할 수 있는 고급 위협 탐지 도구와 모니터링 솔루션을 구현하는 것을 고려해야 합니다.

로드 중...