Perisian Hasad Perfctl Menjadi Ancaman Senyap yang Menjangkiti Ribuan Pelayan Linux
Dalam penemuan membimbangkan baru-baru ini oleh Aqua Security, perisian hasad tersembunyi bernama Perfctl telah secara aktif menyasarkan pelayan Linux selama lebih tiga tahun, menyelinap melalui celah-celah salah konfigurasi dan kelemahan pelayan. Malware yang canggih ini telah menjejaskan beribu-ribu sistem, memfokuskan pada taktik pengelakan dan merampas sumber untuk melombong mata wang kripto. Berikut ialah perkara yang anda perlu tahu tentang keluarga perisian hasad ini yang terbang di bawah radar.
Isi kandungan
Bagaimana Perfctl Beroperasi
Perfctl mengeksploitasi lebih daripada 20,000 kelemahan yang diketahui dan salah konfigurasi dalam pelayan Linux untuk mewujudkan akses berterusan. Sebaik sahaja di dalam, ia tidak segera menimbulkan penggera. Sebaliknya, ia berfungsi secara senyap, menggunakan rootkit untuk menyembunyikan dirinya dan hanya diaktifkan apabila pelayan melahu. Komunikasi dengan infrastruktur arahan dan kawalan (C&C)nya diuruskan dengan teliti melalui soket Unix dan rangkaian Tor, memastikan arahan luaran sukar dikesan.
Sebaik sahaja perisian hasad berada di dalam sistem, ia mewujudkan pintu belakang, meningkatkan keistimewaan dan membenarkan pengendalinya mengawal pelayan yang dijangkiti dari jauh. Dari sana, Perfctl menggunakan alat untuk peninjauan, menjatuhkan pelombong mata wang kripto, dan menggunakan perisian penjejakan proksi untuk mencuri sumber daripada sistem yang terjejas. Pengendalinya juga menggunakan perisian hasad tambahan, menjadikan pelayan yang dijangkiti ini tempat pembiakan untuk aktiviti yang lebih jahat.
Pengelakan dan Kegigihan adalah Kunci kepada Kesembunyian Perfctl
Perfctl direka bentuk untuk satu perkara di atas segalanya: kekal tersembunyi. Ia mengubah suai skrip sistem untuk memastikan ia berjalan sebelum beban kerja yang sah, mengekalkan cengkamannya pada pelayan. Ia juga disambungkan ke dalam pelbagai fungsi pengesahan, membolehkan ia memintas semakan kata laluan atau bahkan log kelayakan, memberikan penyerang akses lanjut kepada data sensitif. Perisian hasad malah pergi setakat menggantung operasinya jika ia mengesan aktiviti pengguna, menjadikannya hampir tidak dapat dilihat oleh pentadbir.
Dibungkus, dilucutkan dan disulitkan, binari Perfctl direka untuk mengelakkan pengesanan dan kejuruteraan terbalik. Penciptanya telah berusaha keras untuk memastikan mekanisme pertahanan tradisional tidak akan berfungsi menentangnya. Lebih memburukkan lagi keadaan, Perfctl bukan sahaja berpuas hati dengan menjejaskan sistem—ia secara aktif mencari perisian hasad lain pada pelayan dan cuba untuk menamatkannya, memastikan ia adalah satu-satunya perisian hasad yang dijalankan pada sistem.
Kerentanan: CVE-2021-4043 Dieksploitasi
Salah satu titik masuk kritikal untuk Perfctl adalah melalui kelemahan yang diketahui: CVE-2021-4043. Ini ialah pepijat penyahrujukan penunjuk Null sederhana keterukan dalam rangka kerja multimedia sumber terbuka Gpac. Perfctl menggunakan kelemahan ini untuk meningkatkan keistimewaannya, cuba mendapatkan akses root. Walaupun pepijat itu baru-baru ini ditambahkan pada katalog Kerentanan Dieksploitasi Diketahui CISA, ia tetap menjadi sasaran untuk perisian hasad ini kerana eksploitasinya yang berterusan di alam liar.
Sebaik sahaja Perfctl mendapat akses, ia merebak ke seluruh sistem yang dijangkiti, menyalin dirinya sendiri ke berbilang lokasi, dan juga menjatuhkan utiliti Linux yang diubah suai, yang bertindak sebagai rootkit userland. Utiliti ini menyelubungi lagi operasinya dan membenarkan pelombong kripto berjalan di latar belakang tanpa disedari.
Skop Serangan
Jangkauan Perfctl adalah luas, dengan Aqua Security mengenal pasti tiga pelayan muat turun yang digunakan dalam serangan dan banyak tapak web yang terjejas. Aktor ancaman di sebalik Perfctl menggunakan senarai kabur traversal direktori yang mengandungi hampir 20,000 entri untuk mencari fail konfigurasi dan rahsia terdedah. Ini menjelaskan bahawa penyerang bukan sahaja bergantung pada kelemahan rawak tetapi secara sistematik mencari salah konfigurasi untuk dieksploitasi.
Apa yang Boleh Dilakukan?
Penemuan Perfctl menyerlahkan kepentingan mengekalkan konfigurasi selamat pada pelayan Linux dan menampal kelemahan yang diketahui secepat mungkin. Pentadbir sistem harus sentiasa mengaudit sistem mereka untuk aktiviti luar biasa, terutamanya semasa tempoh terbiar, dan memantau trafik rangkaian yang mencurigakan yang boleh menunjukkan kehadiran rootkit atau pelombong mata wang kripto.
Memandangkan sifat canggih Perfctl, mekanisme pengesanan tradisional mungkin tidak mencukupi. Organisasi harus mempertimbangkan untuk melaksanakan alat pengesanan ancaman lanjutan dan penyelesaian pemantauan yang boleh mengenal pasti corak luar biasa dalam kelakuan pelayan, walaupun perisian hasad cuba disembunyikan secara aktif.