O Malware Perfctl Se Torna a Ameaça Silenciosa que Infecta Milhares de Servidores Linux
Em uma descoberta alarmante recente da Aqua Security, um malware furtivo chamado Perfctl tem visado ativamente servidores Linux por mais de três anos, passando despercebido por falhas de configuração e vulnerabilidades de servidores. Esse malware sofisticado comprometeu milhares de sistemas, focando em táticas de evasão e sequestrando recursos para minerar criptomoedas. Aqui está o que você precisa saber sobre essa família de malware que está voando sob o radar.
Índice
Como o Perfctl Opera
O Perfctl explora mais de 20.000 vulnerabilidades e configurações incorretas conhecidas em servidores Linux para estabelecer acesso persistente. Uma vez dentro, ele não dispara alarmes imediatamente. Em vez disso, ele funciona silenciosamente, usando um rootkit para se esconder e só é ativado quando o servidor está ocioso. A comunicação com sua infraestrutura de comando e controle (C&C) é cuidadosamente gerenciada por meio de um soquete Unix e da rede Tor, garantindo que os comandos externos sejam difíceis de rastrear.
Uma vez que o malware está dentro do sistema, ele cria um backdoor, aumentando privilégios e permitindo que seus operadores controlem o servidor infectado remotamente. A partir daí, o Perfctl implanta ferramentas para reconhecimento, derruba um minerador de criptomoedas e usa software de proxy-jacking para roubar recursos de sistemas comprometidos. Seus operadores também implantam malware adicional, tornando esses servidores infectados criadouros para atividades mais nefastas.
Evasão e Persistência são a Chave para a Furtividade Perfeita
O Perfctl é projetado para uma coisa acima de tudo: permanecer oculto. Ele modifica scripts do sistema para garantir que seja executado antes de cargas de trabalho legítimas, mantendo seu controle sobre o servidor. Ele também se conecta a várias funções de autenticação, permitindo que ele ignore verificações de senha ou até mesmo credenciais de log, dando aos invasores mais acesso a dados confidenciais. O malware chega até a suspender suas operações se detectar atividade do usuário, tornando-o quase invisível para os administradores.
Empacotados, despojados e criptografados, os binários do Perfctl são projetados para evitar detecção e engenharia reversa. Seus criadores fizeram grandes esforços para garantir que os mecanismos de defesa tradicionais não funcionem contra ele. Para piorar a situação, o Perfctl não fica satisfeito apenas em comprometer um sistema — ele procura ativamente outros malwares no servidor e tenta eliminá-los, garantindo que seja o único malware em execução no sistema.
A Vulnerabilidade: CVE-2021-4043 Explorada
Um dos pontos de entrada críticos para o Perfctl é por meio de uma vulnerabilidade conhecida: CVE-2021-4043. Este é um bug de desreferência de ponteiro nulo de gravidade média na estrutura multimídia de código aberto Gpac. O Perfctl usa essa vulnerabilidade para escalar seus privilégios, tentando obter acesso root. Embora o bug tenha sido adicionado recentemente ao catálogo de Vulnerabilidades Exploradas Conhecidas da CISA, ele continua sendo um alvo para esse malware devido à sua exploração contínua na natureza.
Uma vez que o Perfctl ganha acesso, ele se espalha pelo sistema infectado, copiando-se para vários locais, e até mesmo derruba utilitários Linux modificados, que agem como rootkits de userland. Esses utilitários ocultam ainda mais suas operações e permitem que o cryptominer seja executado em segundo plano sem ser notado.
O Escopo do Ataque
O alcance do Perfctl é amplo, com a Aqua Security identificando três servidores de download usados nos ataques e uma série de sites comprometidos. Os agentes de ameaças por trás do Perfctl usam listas de fuzzing de travessia de diretório contendo quase 20.000 entradas para procurar por arquivos de configuração e segredos expostos. Isso deixa claro que os invasores não estão apenas contando com vulnerabilidades aleatórias, mas estão sistematicamente procurando por configurações incorretas para explorar.
O Que pode ser Feito?
A descoberta do Perfctl destaca a importância de manter configurações seguras em servidores Linux e corrigir vulnerabilidades conhecidas o mais rápido possível. Os administradores de sistema devem auditar regularmente seus sistemas para atividades incomuns, especialmente durante períodos ociosos, e monitorar tráfego de rede suspeito que possa indicar a presença de um rootkit ou minerador de criptomoeda.
Dada a natureza sofisticada do Perfctl, mecanismos de detecção tradicionais podem não ser suficientes. As organizações devem considerar implementar ferramentas avançadas de detecção de ameaças e soluções de monitoramento que possam identificar padrões incomuns no comportamento do servidor, mesmo se o malware estiver ativamente tentando se esconder.