Вредоносное ПО Perfctl становится скрытой угрозой, заражая тысячи серверов Linux
В недавнем тревожном открытии Aqua Security скрытая вредоносная программа под названием Perfctl активно атаковала серверы Linux на протяжении более трех лет, проскальзывая сквозь щели в неправильных конфигурациях и уязвимостях сервера. Эта сложная вредоносная программа скомпрометировала тысячи систем, сосредоточившись на тактике уклонения и захвате ресурсов для майнинга криптовалюты. Вот что вам нужно знать об этом семействе вредоносных программ, которое остается незамеченным.
Оглавление
Как работает Perfctl
Perfctl использует более 20 000 известных уязвимостей и неверных конфигураций в серверах Linux для установления постоянного доступа. Попав внутрь, он не сразу поднимает тревогу. Вместо этого он работает тихо, используя руткит, чтобы скрыть себя, и активируется только тогда, когда сервер бездействует. Связь с его инфраструктурой управления и контроля (C&C) тщательно контролируется через сокет Unix и сеть Tor, что гарантирует, что внешние команды трудно отследить.
Как только вредоносное ПО попадает в систему, оно создает бэкдор, повышая привилегии и позволяя своим операторам удаленно управлять зараженным сервером. Оттуда Perfctl развертывает инструменты для разведки, запускает майнер криптовалюты и использует программное обеспечение для взлома прокси-серверов, чтобы красть ресурсы из скомпрометированных систем. Его операторы также развертывают дополнительное вредоносное ПО, делая эти зараженные серверы питательной средой для более гнусной деятельности.
Уклонение и настойчивость — ключ к скрытности Перфектла
Perfctl разработан для одной цели, прежде всего: оставаться скрытым. Он изменяет системные скрипты, чтобы гарантировать, что он запустится до законных рабочих нагрузок, сохраняя свой контроль над сервером. Он также подключается к различным функциям аутентификации, что позволяет ему обходить проверки паролей или даже регистрировать учетные данные, предоставляя злоумышленникам дополнительный доступ к конфиденциальным данным. Вредоносная программа даже заходит так далеко, что приостанавливает свои операции, если обнаруживает активность пользователя, что делает ее почти невидимой для администраторов.
Упакованные, очищенные и зашифрованные двоичные файлы Perfctl разработаны так, чтобы избежать обнаружения и обратного проектирования. Его создатели приложили немало усилий, чтобы гарантировать, что традиционные механизмы защиты не сработают против него. Хуже того, Perfctl не просто удовлетворен тем, что скомпрометирует систему — он активно ищет другие вредоносные программы на сервере и пытается их уничтожить, гарантируя, что это единственная вредоносная программа, запущенная в системе.
Уязвимость: эксплуатация CVE-2021-4043
Одной из критических точек входа для Perfctl является известная уязвимость: CVE-2021-4043. Это ошибка разыменования нулевого указателя средней степени серьезности в мультимедийном фреймворке с открытым исходным кодом Gpac. Perfctl использует эту уязвимость для повышения своих привилегий, пытаясь получить доступ root. Хотя эта ошибка была недавно добавлена в каталог известных эксплуатируемых уязвимостей CISA, она остается целью для этого вредоносного ПО из-за его продолжающейся эксплуатации в дикой природе.
Получив доступ, Perfctl распространяется по зараженной системе, копируя себя в несколько мест и даже сбрасывая модифицированные утилиты Linux, которые действуют как руткиты пользовательского пространства. Эти утилиты еще больше скрывают его операции и позволяют криптомайнеру работать в фоновом режиме незамеченным.
Масштаб атаки
Охват Perfctl широк: Aqua Security выявила три сервера загрузки, использовавшихся в атаках, и множество скомпрометированных веб-сайтов. Субъекты угроз, стоящие за Perfctl, используют списки обхода каталогов, содержащие около 20 000 записей, для поиска открытых файлов конфигурации и секретов. Это ясно показывает, что злоумышленники не просто полагаются на случайные уязвимости, но и систематически ищут неверные конфигурации для эксплуатации.
Что можно сделать?
Открытие Perfctl подчеркивает важность поддержания безопасных конфигураций на серверах Linux и исправления известных уязвимостей как можно скорее. Системные администраторы должны регулярно проверять свои системы на предмет необычной активности, особенно в периоды простоя, и отслеживать подозрительный сетевой трафик, который может указывать на присутствие руткита или майнера криптовалюты.
Учитывая сложную природу Perfctl, традиционных механизмов обнаружения может быть недостаточно. Организациям следует рассмотреть возможность внедрения расширенных инструментов обнаружения угроз и решений для мониторинга, которые могут выявлять необычные закономерности в поведении сервера, даже если вредоносное ПО активно пытается скрыться.