Malvér Perfctl sa stáva tichou hrozbou, ktorá infikuje tisíce linuxových serverov
V nedávnom alarmujúcom zistení spoločnosti Aqua Security sa tajný malvér s názvom Perfctl aktívne zameriava na servery Linux už viac ako tri roky a prekĺzne cez trhliny nesprávnej konfigurácie a zraniteľnosti serverov. Tento sofistikovaný malvér kompromitoval tisíce systémov so zameraním na únikové taktiky a únosy zdrojov na ťažbu kryptomeny. Tu je to, čo potrebujete vedieť o tejto rodine škodlivého softvéru, ktorý je pod radarom.
Obsah
Ako funguje Perfctl
Perfctl využíva viac ako 20 000 známych zraniteľností a nesprávnych konfigurácií v serveroch Linux na vytvorenie trvalého prístupu. Keď ste vo vnútri, okamžite nevyvolá poplach. Namiesto toho funguje ticho, na skrytie sa používa rootkit a aktivuje sa iba vtedy, keď je server nečinný. Komunikácia s jeho infraštruktúrou príkazov a riadenia (C&C) je starostlivo riadená prostredníctvom zásuvky Unix a siete Tor, čo zaisťuje, že externé príkazy je ťažké sledovať.
Akonáhle sa malvér dostane do systému, vytvorí zadné vrátka, eskaluje privilégiá a umožní jeho operátorom ovládať infikovaný server na diaľku. Odtiaľ Perfctl nasadzuje nástroje na prieskum, vypúšťa ťažiara kryptomien a používa softvér na zdieranie proxy na ukradnutie zdrojov z kompromitovaných systémov. Jeho prevádzkovatelia tiež nasadzujú ďalší malvér, vďaka čomu sú tieto infikované servery živnou pôdou pre zákernejšie aktivity.
Únik a vytrvalosť sú kľúčom k tajnosti Perfctl
Perfctl je navrhnutý predovšetkým pre jednu vec: zostať skrytý. Upravuje systémové skripty, aby sa zaistilo, že sa spustia pred legitímnym pracovným zaťažením, pričom si zachováva svoju priľnavosť na serveri. Tiež sa pripája k rôznym funkciám autentifikácie, čo mu umožňuje obísť kontroly hesiel alebo dokonca prihlasovacie údaje, čo útočníkom poskytuje ďalší prístup k citlivým údajom. Malvér ide dokonca tak ďaleko, že pozastaví svoju činnosť, ak zaznamená aktivitu používateľa, vďaka čomu je pre správcov takmer neviditeľný.
Zabalené, zbavené a zašifrované binárne súbory Perfctl sú navrhnuté tak, aby sa vyhli detekcii a reverznému inžinierstvu. Jeho tvorcovia vynaložili veľké úsilie, aby zabezpečili, že tradičné obranné mechanizmy proti nemu nebudú fungovať. Aby toho nebolo málo, Perfctl sa neuspokojuje len s kompromitovaním systému – aktívne vyhľadáva ďalší malvér na serveri a pokúša sa ho ukončiť, čím zabezpečuje, že ide o jediný malvér bežiaci v systéme.
Chyba zabezpečenia: CVE-2021-4043 zneužitá
Jedným z kritických vstupných bodov pre Perfctl je známa zraniteľnosť: CVE-2021-4043. Toto je stredne závažná chyba dereferencovania nulového ukazovateľa v open-source multimediálnom rámci Gpac. Perfctl používa túto chybu zabezpečenia na eskaláciu svojich privilégií a pokúša sa získať prístup root. Aj keď bola chyba nedávno pridaná do katalógu známych zneužitých zraniteľností CISA, zostáva cieľom tohto malvéru kvôli jeho pokračujúcemu zneužívaniu vo voľnej prírode.
Akonáhle Perfctl získa prístup, rozšíri sa po infikovanom systéme, skopíruje sa do viacerých umiestnení a dokonca zahodí upravené linuxové nástroje, ktoré fungujú ako rootkity užívateľského prostredia. Tieto nástroje ďalej maskujú jeho operácie a umožňujú kryptomineru bežať na pozadí bez povšimnutia.
Rozsah útoku
Dosah Perfctl je široký, pričom Aqua Security identifikuje tri sťahovacie servery použité pri útokoch a množstvo napadnutých webových stránok. Aktéri hrozieb, ktorí stoja za Perfctl, používajú na vyhľadávanie odhalených konfiguračných súborov a tajomstiev fuzzové zoznamy na prechádzanie adresárov, ktoré obsahujú takmer 20 000 záznamov. To objasňuje, že útočníci sa nespoliehajú len na náhodné zraniteľnosti, ale systematicky hľadajú nesprávne konfigurácie, ktoré by mohli zneužiť.
Čo sa dá urobiť?
Objav Perfctl zdôrazňuje dôležitosť udržiavania bezpečných konfigurácií na serveroch Linux a opravovania známych zraniteľností čo najskôr. Správcovia systému by mali pravidelne kontrolovať svoje systémy kvôli nezvyčajnej aktivite, najmä počas nečinnosti, a monitorovať podozrivú sieťovú prevádzku, ktorá by mohla naznačovať prítomnosť rootkitu alebo ťažiteľa kryptomien.
Vzhľadom na sofistikovanú povahu Perfctl nemusia tradičné detekčné mechanizmy stačiť. Organizácie by mali zvážiť implementáciu pokročilých nástrojov na detekciu hrozieb a monitorovacích riešení, ktoré dokážu identifikovať nezvyčajné vzorce v správaní servera, aj keď sa malvér aktívne snaží skrývať.