Malware-ul Perfctl devine o amenințare tăcută care infectează mii de servere Linux
Într-o descoperire alarmantă recentă a Aqua Security, un malware ascuns numit Perfctl vizează în mod activ serverele Linux de peste trei ani, trecând prin fisurile configurărilor greșite și vulnerabilităților serverului. Acest malware sofisticat a compromis mii de sisteme, concentrându-se pe tactici de evaziune și deturnarea resurselor pentru minarea criptomonedei. Iată ce trebuie să știți despre această familie de programe malware care zboară sub radar.
Cuprins
Cum funcționează Perfctl
Perfctl exploatează peste 20.000 de vulnerabilități și configurații greșite cunoscute în serverele Linux pentru a stabili accesul persistent. Odată înăuntru, nu dă imediat alarme. În schimb, funcționează în tăcere, folosind un rootkit pentru a se ascunde și se activează numai când serverul este inactiv. Comunicarea cu infrastructura sa de comandă și control (C&C) este gestionată cu atenție printr-un socket Unix și prin rețeaua Tor, asigurându-se că comenzile externe sunt dificil de urmărit.
Odată ce malware-ul este în interiorul sistemului, acesta creează o ușă în spate, crescând privilegiile și permițând operatorilor săi să controleze serverul infectat de la distanță. De acolo, Perfctl implementează instrumente pentru recunoaștere, renunță la un miner de criptomonede și folosește software de tip proxy-jacking pentru a fura resurse din sistemele compromise. Operatorii săi implementează, de asemenea, programe malware suplimentare, făcând aceste servere infectate un teren propice pentru activități mai nefaste.
Evaziunea și persistența sunt cheia ascunsului lui Perfctl
Perfctl este conceput pentru un singur lucru mai presus de orice altceva: să rămână ascuns. Modifică scripturile de sistem pentru a se asigura că rulează înaintea sarcinilor de lucru legitime, menținându-și controlul asupra serverului. De asemenea, se conectează la diverse funcții de autentificare, permițându-i să ocolească verificările parolelor sau chiar să înregistreze acreditările, oferind atacatorilor acces suplimentar la date sensibile. Malware-ul ajunge chiar și până la suspendarea operațiunilor dacă detectează activitatea utilizatorului, făcându-l aproape invizibil pentru administratori.
Împachetate, decapate și criptate, binarele lui Perfctl sunt concepute pentru a evita detectarea și inginerie inversă. Creatorii săi au făcut eforturi mari pentru a se asigura că mecanismele tradiționale de apărare nu vor funcționa împotriva lui. Pentru a înrăutăți lucrurile, Perfctl nu este doar mulțumit de compromiterea unui sistem, ci caută în mod activ alte programe malware pe server și încearcă să le elimine, asigurându-se că este singurul malware care rulează pe sistem.
Vulnerabilitatea: CVE-2021-4043 Exploatat
Unul dintre punctele critice de intrare pentru Perfctl este printr-o vulnerabilitate cunoscută: CVE-2021-4043. Acesta este o eroare de dereferire a indicatorului nul de severitate medie în cadrul multimedia open-source Gpac. Perfctl folosește această vulnerabilitate pentru a-și escalada privilegiile, încercând să obțină acces root. Deși bug-ul a fost adăugat recent în catalogul de vulnerabilități exploatate cunoscute al CISA, acesta rămâne o țintă pentru acest malware datorită exploatării sale continue în sălbăticie.
Odată ce Perfctl obține acces, se răspândește în sistemul infectat, copiendu-se în mai multe locații și chiar renunță la utilitarele Linux modificate, care acționează ca rootkit-uri pentru userland. Aceste utilități își ascund și mai mult operațiunile și permit criptominerului să ruleze în fundal neobservat.
Scopul atacului
Acțiunea Perfctl este largă, Aqua Security identificând trei servere de descărcare utilizate în atacuri și o mulțime de site-uri web compromise. Actorii amenințărilor din spatele Perfctl folosesc liste de fuzzing de traversare a directoarelor care conțin aproape 20.000 de intrări pentru a căuta fișiere de configurare și secrete expuse. Acest lucru arată clar că atacatorii nu se bazează doar pe vulnerabilități aleatorii, ci caută sistematic configurații greșite de exploatat.
Ce se poate face?
Descoperirea lui Perfctl evidențiază importanța menținerii configurațiilor securizate pe serverele Linux și a corectării vulnerabilităților cunoscute cât mai curând posibil. Administratorii de sistem ar trebui să își auditeze în mod regulat sistemele pentru activități neobișnuite, în special în perioadele de inactivitate, și să monitorizeze traficul de rețea suspect care ar putea indica prezența unui rootkit sau a unui miner de criptomonede.
Având în vedere natura sofisticată a lui Perfctl, mecanismele tradiționale de detectare ar putea să nu fie suficiente. Organizațiile ar trebui să ia în considerare implementarea de instrumente avansate de detectare a amenințărilor și soluții de monitorizare care pot identifica modele neobișnuite în comportamentul serverului, chiar dacă malware-ul încearcă în mod activ să se ascundă.