„Perfctl“ kenkėjiška programa tampa tylia grėsme, užkrečiančia tūkstančius „Linux“ serverių
Neseniai „Aqua Security“ atrado, kad slapta kenkėjiška programa „Perfctl“ daugiau nei trejus metus aktyviai nusitaikė į „Linux“ serverius, slysdama pro serverio netinkamų konfigūracijų ir pažeidžiamumų plyšius. Ši sudėtinga kenkėjiška programa sukompromitavo tūkstančius sistemų, sutelkdama dėmesį į vengimo taktiką ir išteklių užgrobimą, kad būtų galima išgauti kriptovaliutą. Štai ką reikia žinoti apie šią kenkėjiškų programų šeimą, kuri skraido po radaru.
Turinys
Kaip veikia Perfctl
Perfctl išnaudoja daugiau nei 20 000 žinomų Linux serverių pažeidžiamumų ir netinkamų konfigūracijų, kad užtikrintų nuolatinę prieigą. Patekęs į vidų, jis iš karto nesukelia pavojaus signalo. Vietoj to, jis veikia tyliai, naudodamas rootkit, kad pasislėptų, ir suaktyvinamas tik tada, kai serveris neveikia. Ryšys su komandų ir valdymo (C&C) infrastruktūra yra kruopščiai valdomas per „Unix“ lizdą ir „Tor“ tinklą, užtikrinant, kad išorines komandas būtų sunku atsekti.
Kai kenkėjiška programa patenka į sistemą, ji sukuria užpakalines duris, padidindama privilegijas ir leisdama jos operatoriams nuotoliniu būdu valdyti užkrėstą serverį. Iš ten „Perfctl“ diegia žvalgybos įrankius, atsisako kriptovaliutų kasyklos ir naudoja tarpinio serverio įsilaužimo programinę įrangą, kad pavogtų išteklius iš pažeistų sistemų. Jo operatoriai taip pat diegia papildomas kenkėjiškas programas, todėl šie užkrėsti serveriai yra vieta nešvankesnėms veikloms.
Išsiskyrimas ir atkaklumas yra raktas į „Perfctl“ slaptumą
„Perfctl“ sukurta tam, kad būtų vienas svarbiausias dalykas: likti paslėptam. Ji modifikuoja sistemos scenarijus, kad užtikrintų, jog jie veiktų prieš teisėtus darbo krūvius ir išlaikytų savo valdymą serveryje. Jis taip pat prisijungia prie įvairių autentifikavimo funkcijų, leidžiančių apeiti slaptažodžių patikrinimus ar net registruoti kredencialus, o užpuolikams suteikiama daugiau prieigos prie jautrių duomenų. Kenkėjiška programa netgi sustabdo savo veiklą, jei aptinka vartotojo veiklą, todėl administratoriams ji beveik nepastebima.
Supakuoti, pašalinti ir užšifruoti „Perfctl“ dvejetainiai failai yra skirti išvengti aptikimo ir atvirkštinės inžinerijos. Jo kūrėjai labai stengėsi užtikrinti, kad tradiciniai gynybos mechanizmai prieš tai neveiks. Dar blogiau tai, kad „Perfctl“ nesitenkina tik pažeidžiant sistemą – ji aktyviai ieško kitų kenkėjiškų programų serveryje ir bando jas nutraukti, užtikrindama, kad tai būtų vienintelė sistemoje veikianti kenkėjiška programa.
Pažeidžiamumas: išnaudota CVE-2021-4043
Vienas iš svarbiausių Perfctl įėjimo taškų yra per žinomą pažeidžiamumą: CVE-2021-4043. Tai yra vidutinio sunkumo Null pointer dereference klaida atvirojo kodo daugialypės terpės sistemoje Gpac. Perfctl naudoja šį pažeidžiamumą, kad padidintų savo privilegijas, bandydama gauti root prieigą. Nors klaida neseniai buvo įtraukta į CISA žinomų išnaudotų pažeidžiamų vietų katalogą, ji išlieka šios kenkėjiškos programos taikiniu, nes ji nuolat eksploatuojama gamtoje.
Kai „Perfctl“ įgyja prieigą, jis išplinta visoje užkrėstoje sistemoje, nukopijuoja save į kelias vietas ir netgi atsisako modifikuotų „Linux“ paslaugų, kurios veikia kaip vartotojo šaknų rinkiniai. Šios komunalinės paslaugos dar labiau užgožia savo operacijas ir leidžia kriptomineriui nepastebimai veikti fone.
Atakos apimtis
„Perfctl“ pasiekiamumas yra platus, nes „Aqua Security“ nustatė tris atakose naudotus atsisiuntimo serverius ir daugybę pažeistų svetainių. „Perfctl“ grėsmės veikėjai naudoja katalogų perėjimo neaiškius sąrašus, kuriuose yra beveik 20 000 įrašų, norėdami ieškoti atskleistų konfigūracijos failų ir paslapčių. Tai aiškiai parodo, kad užpuolikai ne tik pasikliauja atsitiktiniais pažeidžiamumais, bet ir sistemingai ieško netinkamų konfigūracijų, kuriomis galėtų pasinaudoti.
Ką galima padaryti?
Perfctl atradimas pabrėžia, kaip svarbu išlaikyti saugias konfigūracijas Linux serveriuose ir kuo greičiau pataisyti žinomas spragas. Sistemos administratoriai turėtų reguliariai tikrinti, ar jų sistemose nėra neįprastos veiklos, ypač neveiklumo laikotarpiais, ir stebėti, ar nėra įtartino tinklo srauto, kuris galėtų reikšti, kad yra rootkit arba kriptovaliutų kasėjas.
Atsižvelgiant į sudėtingą Perfctl pobūdį, tradicinių aptikimo mechanizmų gali nepakakti. Organizacijos turėtų apsvarstyti galimybę įdiegti pažangius grėsmių aptikimo įrankius ir stebėjimo sprendimus, kurie galėtų nustatyti neįprastus serverio elgesio modelius, net jei kenkėjiška programa aktyviai bando slėptis.