Perfctl-malwaren blir den stille trusselen som infiserer tusenvis av Linux-servere
I en nylig alarmerende oppdagelse av Aqua Security, har en snikende skadelig programvare ved navn Perfctl vært aktivt rettet mot Linux-servere i over tre år, og sluppet gjennom sprekkene til serverfeilkonfigurasjoner og sårbarheter. Denne sofistikerte skadevare har kompromittert tusenvis av systemer, med fokus på unndragelsestaktikker og kapring av ressurser for å utvinne kryptovaluta. Her er det du trenger å vite om denne skadevarefamilien som flyr under radaren.
Innholdsfortegnelse
Hvordan Perfctl fungerer
Perfctl utnytter mer enn 20 000 kjente sårbarheter og feilkonfigurasjoner i Linux-servere for å etablere vedvarende tilgang. Når den først er inne, slår den ikke alarm umiddelbart. I stedet fungerer den stille, bruker et rootkit for å skjule seg selv og aktiveres bare når serveren er inaktiv. Kommunikasjon med kommando-og-kontroll-infrastrukturen (C&C) administreres nøye gjennom en Unix-socket og Tor-nettverket, noe som sikrer at eksterne kommandoer er vanskelige å spore.
Når skadelig programvare er inne i systemet, skaper den en bakdør, eskalerer privilegier og lar operatørene kontrollere den infiserte serveren eksternt. Derfra distribuerer Perfctl verktøy for rekognosering, dropper en kryptovalutagruvearbeider og bruker proxy-jacking-programvare for å stjele ressurser fra kompromitterte systemer. Operatørene distribuerer også ytterligere skadelig programvare, noe som gjør disse infiserte serverne til grobunn for mer ondsinnede aktiviteter.
Unngåelse og utholdenhet er nøkkelen til Perfctls stealth
Perfctl er konstruert for én ting fremfor alt annet: å holde seg skjult. Den endrer systemskript for å sikre at den kjører før legitime arbeidsbelastninger, og opprettholder grepet på serveren. Den kobles også til ulike autentiseringsfunksjoner, slik at den kan omgå passordsjekker eller til og med logge legitimasjon, noe som gir angripere ytterligere tilgang til sensitive data. Skadevaren går til og med så langt som å stanse driften hvis den oppdager brukeraktivitet, noe som gjør den nesten usynlig for administratorer.
Pakket, strippet og kryptert, Perfctls binærfiler er designet for å unngå deteksjon og omvendt utvikling. Skaperne har gått langt for å sikre at tradisjonelle forsvarsmekanismer ikke vil virke mot det. For å gjøre vondt verre, er Perfctl ikke bare fornøyd med å kompromittere et system – den søker aktivt etter annen skadelig programvare på serveren og forsøker å avslutte dem, for å sikre at det er den eneste skadevare som kjører på systemet.
Sårbarheten: CVE-2021-4043 utnyttet
Et av de kritiske inngangspunktene for Perfctl er gjennom en kjent sårbarhet: CVE-2021-4043. Dette er en middels alvorlig Null-peker-dereference-feil i åpen kildekode multimedierammeverket Gpac. Perfctl bruker denne sårbarheten til å eskalere privilegiene, og forsøker å få root-tilgang. Selv om feilen nylig ble lagt til CISAs katalog over kjente utnyttede sårbarheter, er den fortsatt et mål for denne skadevare på grunn av dens pågående utnyttelse i naturen.
Når Perfctl får tilgang, sprer det seg over det infiserte systemet, kopierer seg selv til flere steder, og til og med dropper modifiserte Linux-verktøy, som fungerer som rootkits for brukerland. Disse verktøyene skjuler driften ytterligere og lar kryptomineren kjøre i bakgrunnen ubemerket.
Omfanget av angrepet
Perfctls rekkevidde er bred, med Aqua Security som identifiserer tre nedlastingsservere som ble brukt i angrepene og en rekke kompromitterte nettsteder. Trusselaktørene bak Perfctl bruker uklare lister over kataloggjennomganger som inneholder nesten 20 000 oppføringer for å søke etter synlige konfigurasjonsfiler og hemmeligheter. Dette gjør det klart at angriperne ikke bare er avhengige av tilfeldige sårbarheter, men søker systematisk etter feilkonfigurasjoner å utnytte.
Hva kan gjøres?
Oppdagelsen av Perfctl fremhever viktigheten av å opprettholde sikre konfigurasjoner på Linux-servere og lappe kjente sårbarheter så snart som mulig. Systemadministratorer bør regelmessig revidere systemene sine for uvanlig aktivitet, spesielt i inaktive perioder, og overvåke for mistenkelig nettverkstrafikk som kan indikere tilstedeværelsen av en rootkit eller cryptocurrency-gruvearbeider.
Gitt den sofistikerte naturen til Perfctl, er tradisjonelle deteksjonsmekanismer kanskje ikke nok. Organisasjoner bør vurdere å implementere avanserte trusseldeteksjonsverktøy og overvåkingsløsninger som kan identifisere uvanlige mønstre i serveradferd, selv om skadelig programvare aktivt prøver å skjule seg.