De Perfctl-malware wordt de stille bedreiging die duizenden Linux-servers infecteert
In een recente alarmerende ontdekking door Aqua Security, is een stealthy malware genaamd Perfctl al meer dan drie jaar actief gericht op Linux-servers, waarbij het door de mazen van servermisconfiguraties en kwetsbaarheden glipt. Deze geavanceerde malware heeft duizenden systemen gecompromitteerd, met de focus op ontwijkingstechnieken en het kapen van bronnen om cryptocurrency te minen. Dit is wat u moet weten over deze malwarefamilie die onder de radar vliegt.
Inhoudsopgave
Hoe Perfctl werkt
Perfctl maakt misbruik van meer dan 20.000 bekende kwetsbaarheden en verkeerde configuraties in Linux-servers om permanente toegang te verkrijgen. Eenmaal binnen slaat het niet meteen alarm. In plaats daarvan werkt het stil, met behulp van een rootkit om zichzelf te verbergen en wordt het alleen geactiveerd wanneer de server inactief is. Communicatie met zijn command-and-control (C&C)-infrastructuur wordt zorgvuldig beheerd via een Unix-socket en het Tor-netwerk, waardoor externe opdrachten moeilijk te traceren zijn.
Zodra de malware zich in het systeem bevindt, creëert het een backdoor, waardoor privileges worden verhoogd en de operators de geïnfecteerde server op afstand kunnen besturen. Vanaf daar implementeert Perfctl tools voor verkenning, dropt een cryptocurrency miner en gebruikt proxy-jacking software om bronnen te stelen van gecompromitteerde systemen. De operators implementeren ook extra malware, waardoor deze geïnfecteerde servers broedplaatsen worden voor meer kwaadaardige activiteiten.
Ontwijken en volharding zijn de sleutel tot Perfctl's stealth
Perfctl is ontworpen voor één ding boven alles: verborgen blijven. Het wijzigt systeemscripts om ervoor te zorgen dat het wordt uitgevoerd vóór legitieme workloads, en zo de grip op de server behoudt. Het haakt ook in op verschillende authenticatiefuncties, waardoor het wachtwoordcontroles kan omzeilen of zelfs inloggegevens kan loggen, waardoor aanvallers meer toegang krijgen tot gevoelige gegevens. De malware gaat zelfs zo ver dat het zijn activiteiten opschort als het gebruikersactiviteit detecteert, waardoor het bijna onzichtbaar wordt voor beheerders.
Verpakt, gestript en gecodeerd, zijn de binaire bestanden van Perfctl ontworpen om detectie en reverse engineering te ontwijken. De makers hebben er alles aan gedaan om ervoor te zorgen dat traditionele verdedigingsmechanismen er niet tegen werken. Om het nog erger te maken, is Perfctl niet alleen tevreden met het compromitteren van een systeem: het zoekt actief naar andere malware op de server en probeert deze te beëindigen, zodat het de enige malware is die op het systeem draait.
De kwetsbaarheid: CVE-2021-4043 uitgebuit
Een van de kritieke toegangspunten voor Perfctl is via een bekende kwetsbaarheid: CVE-2021-4043. Dit is een Null pointer dereference bug van gemiddelde ernst in het open-source multimediaframework Gpac. Perfctl gebruikt deze kwetsbaarheid om zijn privileges te verhogen en root-toegang te krijgen. Hoewel de bug onlangs is toegevoegd aan de Known Exploited Vulnerabilities-catalogus van CISA, blijft het een doelwit voor deze malware vanwege de voortdurende exploitatie ervan in het wild.
Zodra Perfctl toegang krijgt, verspreidt het zich over het geïnfecteerde systeem, kopieert zichzelf naar meerdere locaties en laat zelfs aangepaste Linux-hulpprogramma's vallen, die fungeren als rootkits in het gebruikersland. Deze hulpprogramma's verhullen de werking ervan verder en stellen de cryptominer in staat om onopgemerkt op de achtergrond te draaien.
De omvang van de aanval
Het bereik van Perfctl is breed, met Aqua Security die drie downloadservers identificeerde die werden gebruikt bij de aanvallen en een reeks gecompromitteerde websites. De dreigingsactoren achter Perfctl gebruiken directory traversal fuzzing-lijsten met bijna 20.000 vermeldingen om te zoeken naar blootgestelde configuratiebestanden en geheimen. Dit maakt duidelijk dat de aanvallers niet alleen vertrouwen op willekeurige kwetsbaarheden, maar systematisch zoeken naar verkeerde configuraties om te exploiteren.
Wat kan er gedaan worden?
De ontdekking van Perfctl benadrukt het belang van het onderhouden van veilige configuraties op Linux-servers en het zo snel mogelijk patchen van bekende kwetsbaarheden. Systeembeheerders moeten hun systemen regelmatig controleren op ongebruikelijke activiteit, vooral tijdens inactieve periodes, en controleren op verdacht netwerkverkeer dat kan duiden op de aanwezigheid van een rootkit of cryptocurrency-miner.
Gezien de geavanceerde aard van Perfctl zijn traditionele detectiemechanismen mogelijk niet voldoende. Organisaties moeten overwegen om geavanceerde tools voor bedreigingsdetectie en monitoringoplossingen te implementeren die ongebruikelijke patronen in servergedrag kunnen identificeren, zelfs als de malware actief probeert zich te verbergen.