Perfctl ļaunprogrammatūra kļūst par klusu draudu, inficējot tūkstošiem Linux serveru
Nesenā satraucošā Aqua Security atklājumā slēptā ļaunprogrammatūra ar nosaukumu Perfctl vairāk nekā trīs gadus ir aktīvi mērķējusi uz Linux serveriem, izslīdot cauri serveru nepareizas konfigurācijas un ievainojamību plaisām. Šī izsmalcinātā ļaunprogrammatūra ir apdraudējusi tūkstošiem sistēmu, koncentrējoties uz izvairīšanās taktiku un resursu nolaupīšanu, lai iegūtu kriptovalūtu. Lūk, kas jums jāzina par šo ļaundabīgo programmu saimi, kas lido zem radara.
Satura rādītājs
Kā darbojas Perfctl
Perfctl izmanto vairāk nekā 20 000 zināmu ievainojamību un nepareizu konfigurāciju Linux serveros, lai nodrošinātu pastāvīgu piekļuvi. Kad tas ir iekšā, tas nekavējoties nerada trauksmi. Tā vietā tas darbojas klusi, izmantojot rootkit, lai sevi paslēptu, un tiek aktivizēts tikai tad, kad serveris ir dīkstāvē. Saziņa ar tās komandu un kontroles (C&C) infrastruktūru tiek rūpīgi pārvaldīta, izmantojot Unix ligzdu un Tor tīklu, nodrošinot, ka ārējām komandām ir grūti izsekot.
Kad ļaunprogrammatūra atrodas sistēmā, tā izveido aizmugures durvis, palielinot privilēģijas un ļaujot tās operatoriem attālināti kontrolēt inficēto serveri. Pēc tam Perfctl izvieto izlūkošanas rīkus, pamet kriptovalūtas kalnračus un izmanto starpniekservera uzlaušanas programmatūru, lai nozagtu resursus no apdraudētām sistēmām. Tās operatori izvieto arī papildu ļaunprogrammatūru, padarot šos inficētos serverus par augsni nežēlīgākām darbībām.
Izvairīšanās un neatlaidība ir Perfctl slepenības atslēga
Perfctl ir izstrādāts vienai lietai pāri visam: palikt paslēptam. Tas modificē sistēmas skriptus, lai nodrošinātu, ka tie darbojas pirms likumīgas darba slodzes, saglabājot saķeri ar serveri. Tas tiek piesaistīts arī dažādām autentifikācijas funkcijām, ļaujot tai apiet paroļu pārbaudes vai pat reģistrēt akreditācijas datus, nodrošinot uzbrucējiem papildu piekļuvi sensitīviem datiem. Ļaunprātīga programmatūra pat aptur tās darbību, ja tā konstatē lietotāja aktivitātes, padarot to gandrīz neredzamu administratoriem.
Iepakoti, noņemti un šifrēti Perfctl binārie faili ir paredzēti, lai izvairītos no atklāšanas un reversās inženierijas. Tās veidotāji ir darījuši visu, lai nodrošinātu, ka tradicionālie aizsardzības mehānismi nedarbosies pret to. Lai padarītu situāciju vēl ļaunāku, Perfctl neapmierina tikai sistēmas kompromitēšanu — tas aktīvi meklē citu ļaunprātīgu programmatūru serverī un mēģina tās pārtraukt, nodrošinot, ka tā ir vienīgā ļaunprātīgā programmatūra, kas darbojas sistēmā.
Ievainojamība: izmantota CVE-2021-4043
Viens no svarīgākajiem Perfctl ieejas punktiem ir zināma ievainojamība: CVE-2021-4043. Šī ir vidēja smaguma nulles rādītāja novirzīšanas kļūda atvērtā pirmkoda multivides sistēmā Gpac. Perfctl izmanto šo ievainojamību, lai palielinātu savas privilēģijas, mēģinot iegūt root piekļuvi. Lai gan šī kļūda nesen tika pievienota CISA zināmo izmantoto ievainojamību katalogam, tā joprojām ir šīs ļaunprātīgās programmatūras mērķis, jo tā tiek izmantota savvaļā.
Tiklīdz Perfctl iegūst piekļuvi, tas izplatās visā inficētajā sistēmā, kopējot sevi vairākās vietās un pat atmet modificētas Linux utilītas, kas darbojas kā lietotāju zemes sakņu komplekti. Šīs utilītas vēl vairāk maskē tās darbības un ļauj kriptodēlim nepamanīti darboties fonā.
Uzbrukuma apjoms
Perfctl sasniedzamība ir plaša, jo Aqua Security identificē trīs uzbrukumos izmantotos lejupielādes serverus un daudzas apdraudētas vietnes. Lai meklētu atklātos konfigurācijas failus un noslēpumus, Perfctl radītie apdraudējumi izmanto direktoriju šķērsošanas izplūdušos sarakstus, kuros ir gandrīz 20 000 ierakstu. Tas skaidri parāda, ka uzbrucēji ne tikai paļaujas uz nejaušām ievainojamībām, bet arī sistemātiski meklē nepareizas konfigurācijas, ko izmantot.
Ko var darīt?
Perfctl atklāšana parāda, cik svarīgi ir uzturēt drošu konfigurāciju Linux serveros un pēc iespējas ātrāk novērst zināmās ievainojamības. Sistēmas administratoriem regulāri jāpārbauda sistēmas, lai konstatētu neparastas darbības, īpaši dīkstāves periodos, un jāuzrauga aizdomīga tīkla trafika, kas varētu liecināt par rootkit vai kriptovalūtas kalnraču klātbūtni.
Ņemot vērā Perfctl sarežģīto raksturu, ar tradicionālajiem noteikšanas mehānismiem var nepietikt. Organizācijām jāapsver iespēja ieviest uzlabotus draudu noteikšanas rīkus un uzraudzības risinājumus, kas var noteikt neparastus servera darbības modeļus, pat ja ļaunprātīga programmatūra aktīvi cenšas slēpties.