Malware Perfctl staje się cichym zagrożeniem infekującym tysiące serwerów Linux
W niedawnym alarmującym odkryciu Aqua Security, ukryte złośliwe oprogramowanie o nazwie Perfctl aktywnie atakuje serwery Linux od ponad trzech lat, prześlizgując się przez pęknięcia w błędnych konfiguracjach serwerów i lukach w zabezpieczeniach. To wyrafinowane złośliwe oprogramowanie naruszyło tysiące systemów, koncentrując się na taktyce unikania i przejmowaniu zasobów w celu wydobywania kryptowaluty. Oto, co musisz wiedzieć o tej rodzinie złośliwego oprogramowania, która jest niezauważana.
Spis treści
Jak działa Perfctl
Perfctl wykorzystuje ponad 20 000 znanych luk i błędnych konfiguracji w serwerach Linux, aby ustanowić trwały dostęp. Po wejściu do środka nie podnosi natychmiast alarmów. Zamiast tego działa cicho, używając rootkita, aby się ukryć i aktywuje się tylko wtedy, gdy serwer jest bezczynny. Komunikacja z infrastrukturą poleceń i kontroli (C&C) jest starannie zarządzana za pośrednictwem gniazda Unix i sieci Tor, co zapewnia, że zewnętrzne polecenia są trudne do wyśledzenia.
Gdy złośliwe oprogramowanie znajdzie się w systemie, tworzy tylne wejście, zwiększając uprawnienia i umożliwiając operatorom zdalne kontrolowanie zainfekowanego serwera. Następnie Perfctl wdraża narzędzia do rozpoznania, uruchamia koparkę kryptowalut i używa oprogramowania do przechwytywania serwerów proxy, aby kraść zasoby z zainfekowanych systemów. Jego operatorzy wdrażają również dodatkowe złośliwe oprogramowanie, co sprawia, że te zainfekowane serwery stają się siedliskiem bardziej nikczemnych działań.
Kluczem do skradania się Perfctl jest unikanie i wytrwałość
Perfctl został zaprojektowany przede wszystkim do jednej rzeczy: pozostawania ukrytym. Modyfikuje skrypty systemowe, aby zapewnić, że będą działać przed legalnymi obciążeniami, utrzymując kontrolę nad serwerem. Łączy się również z różnymi funkcjami uwierzytelniania, co pozwala mu ominąć sprawdzanie haseł lub nawet rejestrować poświadczenia, dając atakującym dalszy dostęp do poufnych danych. Złośliwe oprogramowanie posuwa się nawet do zawieszenia swoich operacji, jeśli wykryje aktywność użytkownika, co czyni je prawie niewidocznym dla administratorów.
Spakowane, rozebrane i zaszyfrowane pliki binarne Perfctl są zaprojektowane tak, aby uniknąć wykrycia i inżynierii wstecznej. Jego twórcy dołożyli wszelkich starań, aby zapewnić, że tradycyjne mechanizmy obronne nie zadziałają przeciwko niemu. Co gorsza, Perfctl nie zadowala się tylko naruszeniem systemu — aktywnie poszukuje innego złośliwego oprogramowania na serwerze i próbuje je zakończyć, zapewniając, że jest jedynym złośliwym oprogramowaniem działającym w systemie.
Luka w zabezpieczeniach: wykorzystano lukę CVE-2021-4043
Jednym z krytycznych punktów wejścia dla Perfctl jest znana luka: CVE-2021-4043. Jest to błąd dereferencji wskaźnika zerowego o średnim stopniu zagrożenia w środowisku multimedialnym Gpac o otwartym kodzie źródłowym. Perfctl wykorzystuje tę lukę do eskalacji swoich uprawnień, próbując uzyskać dostęp do roota. Chociaż błąd został niedawno dodany do katalogu znanych luk wykorzystywanych przez CISA, pozostaje celem tego złośliwego oprogramowania ze względu na jego ciągłą eksploatację w środowisku naturalnym.
Gdy Perfctl uzyska dostęp, rozprzestrzenia się w zainfekowanym systemie, kopiując się do wielu lokalizacji, a nawet upuszcza zmodyfikowane narzędzia Linux, które działają jak rootkity w przestrzeni użytkownika. Te narzędzia dodatkowo maskują jego działanie i pozwalają kryptominerowi działać w tle niezauważonym.
Zakres ataku
Zasięg Perfctl jest szeroki, a Aqua Security zidentyfikowało trzy serwery pobierania używane w atakach i mnóstwo zainfekowanych witryn. Aktorzy zagrożeń stojący za Perfctl używają list przeszukiwania katalogów zawierających prawie 20 000 wpisów, aby wyszukiwać ujawnione pliki konfiguracyjne i sekrety. To jasno pokazuje, że atakujący nie polegają tylko na losowych lukach, ale systematycznie szukają błędnych konfiguracji do wykorzystania.
Co można zrobić?
Odkrycie Perfctl podkreśla znaczenie utrzymywania bezpiecznych konfiguracji na serwerach Linux i łatania znanych luk w zabezpieczeniach tak szybko, jak to możliwe. Administratorzy systemów powinni regularnie audytować swoje systemy pod kątem nietypowej aktywności, zwłaszcza w okresach bezczynności, i monitorować podejrzany ruch sieciowy, który mógłby wskazywać na obecność rootkita lub minera kryptowaluty.
Biorąc pod uwagę wyrafinowaną naturę Perfctl, tradycyjne mechanizmy wykrywania mogą nie być wystarczające. Organizacje powinny rozważyć wdrożenie zaawansowanych narzędzi do wykrywania zagrożeń i rozwiązań monitorujących, które mogą identyfikować nietypowe wzorce w zachowaniu serwera, nawet jeśli złośliwe oprogramowanie aktywnie próbuje się ukryć.