Perfctl मालवेयर
धम्की दिने सफ्टवेयरको तनावले लिनक्समा आधारित हजारौं प्रणालीहरूलाई संक्रमित गरेको छ। यो यसको लुकाउने दृष्टिकोण, यसले शोषण गर्न सक्ने गलत कन्फिगरेसनहरूको विस्तृत दायरा, र यसले गर्न सक्ने हानिकारक कार्यहरूको विस्तृत श्रृंखलाको लागि बाहिर खडा छ।
2021 मा पहिलो पटक पत्ता लगाइएको, यो खतराले 20,000 भन्दा बढी सामान्यतया पाइने गलत कन्फिगरेसनहरू प्रणालीमा घुसपैठ गर्न प्रयोग गर्छ, जसले लाखौं इन्टरनेट-जडित यन्त्रहरूमा जोखिम खडा गर्छ। थप रूपमा, यसले CVE-2023-33426 को फाइदा लिन्छ, 10 को अधिकतम गम्भीरता स्कोरको साथ एक महत्वपूर्ण जोखिम जुन गत वर्ष Apache RocketMQ मा प्याच गरिएको थियो, सन्देश र स्ट्रिमिङ प्लेटफर्म लिनक्स प्रणालीहरूमा व्यापक रूपमा प्रयोग गरिन्छ।
सामग्रीको तालिका
Perfctl Malware Malevolent क्षमताहरूको एक विशाल एरेसँग सुसज्जित छ
Perfctl ले यसको नाम दुर्भावनापूर्ण कम्पोनेन्टबाट व्युत्पन्न गरेको हो जसले गुप्त रूपमा क्रिप्टोकरेन्सीको खानी गर्छ। विकासकर्ताहरू, जसको पहिचान अज्ञात रहन्छ, लिनक्स प्रदर्शन निगरानी उपकरण 'perf' को नाम 'ctl' सँग जोडे, कमाण्ड-लाइन उपयोगिताहरूमा एक सामान्य संक्षिप्त नाम। Perfctl को एक उल्लेखनीय विशेषता यसको प्रक्रिया र फाइल नामहरूको प्रयोग हो जुन सामान्यतया लिनक्स वातावरणमा फेला परेकाहरूसँग मिल्दोजुल्दो छ, यसले प्रभावित प्रयोगकर्ताहरूद्वारा पत्ता लगाउनबाट बच्न अनुमति दिन्छ।
यसको उपस्थिति थप लुकाउन, Perfctl ले विभिन्न स्टिल्थ रणनीतिहरू प्रयोग गर्दछ। यी मध्ये रूटकिटको रूपमा धेरै कम्पोनेन्टहरूको स्थापना, अपरेटिङ सिस्टम र प्रशासनिक उपकरणहरूबाट लुकाउन डिजाइन गरिएको मालवेयरको एक विशिष्ट श्रेणी। अतिरिक्त चोरी रणनीतिहरू समावेश छन्:
- नयाँ प्रयोगकर्ता लगइनहरूमा सजिलै पत्ता लगाउन सकिने गतिविधिहरू रोक्दै
- बाह्य संचारको लागि TOR मा युनिक्स सकेट प्रयोग गर्दै
- कार्यान्वयन पछि यसको स्थापना बाइनरी मेटाउँदै र पछि पृष्ठभूमि सेवाको रूपमा चलिरहेको छ
- प्रशासनिक उपकरणहरूलाई खराब ट्राफिक रेकर्ड गर्नबाट रोक्न हुकिङ भनेर चिनिने प्रविधि प्रयोग गरेर लिनक्स प्रक्रिया pcap_loop लाई हेरफेर गर्दै
- कार्यान्वयनको क्रममा देखिने अलर्टहरूबाट बच्न सन्देश त्रुटिहरूलाई दबाइँदै।
Perfctl दृढताका लागि ईन्जिनियर गरिएको छ, यसलाई रिबुट वा कोर कम्पोनेन्टहरू हटाउन प्रयास गरेपछि पनि संक्रमित मेसिनहरूमा रहन अनुमति दिन्छ। यसले ~/.profile स्क्रिप्ट परिमार्जन गर्ने प्रविधिहरू मार्फत यो हासिल गर्छ, जसले प्रयोगकर्ता लगइनको क्रममा वातावरण सुरु गर्छ, मालवेयरलाई वैध सर्भर प्रक्रियाहरू अघि लोड गर्न सक्षम पार्छ। यसले मेमोरीबाट धेरै डिस्क स्थानहरूमा पनि प्रतिलिपि गर्दछ। pcap_loop को हुकिङले प्राथमिक पेलोडहरू पत्ता लगाएर हटाइएपछि पनि असुरक्षित गतिविधिहरूलाई जारी राख्न अनुमति दिएर निरन्तरता बढाउँछ।
क्रिप्टोकरेन्सी माइन गर्न प्रणाली स्रोतहरू प्रयोग गर्नुको अतिरिक्त, Perfctl ले संक्रमित मेसिनलाई नाफा उत्पन्न गर्ने प्रोक्सीमा रूपान्तरण गर्छ, जसले भुक्तानी गर्ने ग्राहकहरूलाई उनीहरूको इन्टरनेट ट्राफिक रिले गर्न अनुमति दिन्छ। साइबरसुरक्षा अनुसन्धानकर्ताहरूले यो पनि नोट गरेका छन् कि मालवेयरले अन्य मालवेयर परिवारहरू स्थापना गर्न ब्याकडोरको रूपमा कार्य गर्दछ।
Perfctl मालवेयर संक्रमणको आक्रमण प्रवाह
कमजोरी वा गलत कन्फिगरेसनको फाइदा लिइसकेपछि, शोषण कोडले सम्झौता गरिएको सर्भरबाट प्राथमिक पेलोड डाउनलोड गर्दछ, जुन मालवेयरको लागि अज्ञात वितरण च्यानलमा परिणत भएको छ। जाँच गरिएको आक्रमणमा, पेलोडलाई httpd नाम दिइएको थियो। कार्यान्वयनमा, फाइलले मेमोरीबाट /temp डाइरेक्टरीमा नयाँ स्थानमा प्रतिकृति बनाउँछ, प्रतिलिपि गरिएको संस्करण चलाउँछ, मूल प्रक्रिया समाप्त गर्छ, र डाउनलोड गरिएको बाइनरी मेटाउँछ।
एक पटक /tmp डाइरेक्टरीमा स्थानान्तरण भएपछि, फाइलले फरक नाम अन्तर्गत कार्यान्वयन गर्दछ जुन ज्ञात लिनक्स प्रक्रियाको नक्कल गर्दछ, विशेष रूपमा यस अवस्थामा sh नाम दिइएको छ। पछि, यसले स्थानीय आदेश-र-नियन्त्रण (C2) प्रक्रिया स्थापना गर्दछ। यसले CVE-2021-4043 को शोषण गरेर रूट प्रणाली विशेषाधिकारहरू प्राप्त गर्न खोज्छ, एक विशेषाधिकार वृद्धि जोखिम जुन 2021 मा Gpac भित्र प्याच गरिएको थियो, एक लोकप्रिय खुला स्रोत मल्टिमिडिया फ्रेमवर्क।
मालवेयरले मेमोरीबाट धेरै अन्य डिस्क स्थानहरूमा प्रतिलिपि गर्दछ, एक पटक फेरि नियमित प्रणाली फाइलहरू जस्तै नामहरू प्रयोग गरेर। यसले रूटकिटको साथमा सामान्य रूपमा प्रयोग हुने लिनक्स उपयोगिताहरूको सूटको साथमा रूटकिटको रूपमा काम गर्न परिवर्तन गरिएको छ, खनन कम्पोनेन्टको साथमा पनि तैनात गर्दछ। केहि उदाहरणहरूमा, मालवेयरले "प्रोक्सी-ज्याकिङ" को लागि सफ्टवेयर स्थापना गर्दछ जसले डाटाको वास्तविक उत्पत्ति लुकाएर संक्रमित मेसिन मार्फत ट्राफिकको गोप्य मार्गलाई जनाउँछ।
यसको C2 सञ्चालनको भागको रूपमा, मालवेयरले युनिक्स सकेट खोल्छ, /tmp डाइरेक्टरी भित्र दुईवटा डाइरेक्टरीहरू सिर्जना गर्दछ, र त्यहाँ परिचालन डाटा भण्डारण गर्दछ। यो डेटामा होस्ट घटनाहरू, यसको प्रतिलिपिहरूको स्थानहरू, प्रक्रियाको नामहरू, सञ्चार लगहरू, टोकनहरू, र थप लग जानकारी समावेश छन्। यसबाहेक, यसले यसको कार्यान्वयन र व्यवहारलाई प्रभाव पार्ने डाटा भण्डारण गर्न वातावरणीय चरहरू प्रयोग गर्दछ।
सबै बाइनरीहरू प्याक, स्ट्रिप गरिएको, र एन्क्रिप्टेड छन्, सुरक्षा उपायहरू बेवास्ता गर्न र रिभर्स इन्जिनियरिङ प्रयासहरूलाई जटिल बनाउने ठोस प्रतिबद्धता प्रदर्शन गर्दै। मालवेयरले btmp वा utmp फाइलहरूमा नयाँ प्रयोगकर्ता पत्ता लगाउँदा यसको गतिविधिहरू पज गर्ने र संक्रमित प्रणालीमा प्रभुत्व कायम राख्न कुनै पनि प्रतिस्पर्धी मालवेयरलाई समाप्त गर्ने जस्ता उन्नत चोरी रणनीतिहरू प्रयोग गर्दछ।
Perfctl ले दशौं हजार यन्त्रहरूलाई जोखिममा राख्छ
विभिन्न सेवाहरू र अनुप्रयोगहरूमा इन्टरनेटमा जडान भएका लिनक्स सर्भरहरूको संख्यामा डाटा विश्लेषण गरेर, अनुसन्धानकर्ताहरूले अनुमान गरेका छन् कि हजारौं मेसिनहरू Perfctl बाट संक्रमित छन्। तिनीहरूको खोजहरूले संकेत गर्दछ कि कमजोर मेसिनहरूको पूल - जसले CVE-2023-33426 को लागि प्याच लागू गरेका छैनन् वा गलत कन्फिगरेसनहरू छन् - लाखौंमा रकम। यद्यपि, अनुसन्धानकर्ताहरूले अहिलेसम्म हानिकारक खानीहरूले उत्पन्न गरेको कुल क्रिप्टोकरेन्सीको मूल्याङ्कन गरेका छैनन्।
तिनीहरूको उपकरण Perfctl द्वारा लक्षित वा संक्रमित भएको छ कि छैन भनेर जाँच गर्न, प्रयोगकर्ताहरूले सम्झौताको पहिचान गरिएका संकेतकहरू खोज्नुपर्छ। थप रूपमा, तिनीहरू सीपीयू प्रयोगमा असामान्य स्पाइकहरू वा अप्रत्याशित प्रणाली ढिलोको लागि सतर्क हुनुपर्छ, विशेष गरी निष्क्रिय अवधिहरूमा।
