Zlonamerna programska oprema Perfctl postane tiha grožnja, ki okuži na tisoče strežnikov Linux
V nedavnem zaskrbljujočem odkritju Aqua Security je prikrita zlonamerna programska oprema z imenom Perfctl že več kot tri leta aktivno ciljala na strežnike Linux in se izmuznila skozi razpoke zaradi napačnih konfiguracij in ranljivosti strežnikov. Ta sofisticirana zlonamerna programska oprema je ogrozila na tisoče sistemov, pri čemer se osredotoča na taktike utaj in ugrabitev virov za rudarjenje kriptovalute. Tukaj je tisto, kar morate vedeti o tej družini zlonamerne programske opreme, ki je prikrita.
Kazalo
Kako deluje Perfctl
Perfctl izkorišča več kot 20.000 znanih ranljivosti in napačnih konfiguracij v strežnikih Linux za vzpostavitev trajnega dostopa. Ko je notri, ne sproži takojšnjega alarma. Namesto tega deluje tiho in uporablja rootkit, da se skrije, in se aktivira le, ko je strežnik nedejaven. Komunikacija s svojo infrastrukturo ukazov in nadzora (C&C) je skrbno upravljana prek vtičnice Unix in omrežja Tor, kar zagotavlja, da je zunanje ukaze težko izslediti.
Ko je zlonamerna programska oprema v sistemu, ustvari stranska vrata, stopnjuje privilegije in svojim operaterjem omogoča nadzor nad okuženim strežnikom na daljavo. Od tam Perfctl namesti orodja za izvidovanje, odstrani rudar kriptovalute in uporablja programsko opremo za vdiranje proxyja za krajo virov iz ogroženih sistemov. Njeni operaterji nameščajo tudi dodatno zlonamerno programsko opremo, zaradi česar ti okuženi strežniki postanejo gojišče za bolj nečedne dejavnosti.
Izmikanje in vztrajnost sta ključ do Perfctlove prikritosti
Perfctl je zasnovan predvsem za eno stvar: ostati skrit. Spreminja sistemske skripte, da zagotovi, da se izvaja pred zakonitimi delovnimi obremenitvami, pri čemer ohranja nadzor nad strežnikom. Priklopi se tudi na različne funkcije za preverjanje pristnosti, kar mu omogoča, da obide preverjanje gesel ali celo beleži poverilnice, kar napadalcem omogoči nadaljnji dostop do občutljivih podatkov. Zlonamerna programska oprema gre celo tako daleč, da prekine svoje delovanje, če zazna aktivnost uporabnikov, zaradi česar je skrbnikom skoraj nevidna.
Zapakirane, odstranjene in šifrirane binarne datoteke Perfctl so zasnovane tako, da se izognejo odkrivanju in obratnemu inženirstvu. Njegovi ustvarjalci so se zelo potrudili, da bi zagotovili, da tradicionalni obrambni mehanizmi ne bodo delovali proti njemu. Da bi bile stvari še hujše, se Perfctl ne zadovolji samo z ogrožanjem sistema – aktivno išče drugo zlonamerno programsko opremo na strežniku in jo poskuša ukiniti, s čimer zagotovi, da je edina zlonamerna programska oprema, ki se izvaja v sistemu.
Ranljivost: CVE-2021-4043 izkoriščena
Ena od kritičnih vstopnih točk za Perfctl je znana ranljivost: CVE-2021-4043. To je srednje resna napaka pri deimenovanju ničelnega kazalca v odprtokodnem večpredstavnostnem ogrodju Gpac. Perfctl uporablja to ranljivost za povečanje svojih privilegijev in poskuša pridobiti korenski dostop. Čeprav je bil hrošč nedavno dodan v katalog znanih izkoriščenih ranljivosti CISA, ostaja tarča te zlonamerne programske opreme zaradi njenega nenehnega izkoriščanja v divjini.
Ko Perfctl pridobi dostop, se razširi po okuženem sistemu, se kopira na več lokacij in celo izpusti spremenjene pripomočke Linuxa, ki delujejo kot rootkiti uporabniškega območja. Ti pripomočki dodatno prikrijejo njegove operacije in omogočijo kriptominerju, da deluje v ozadju neopaženo.
Obseg napada
Doseg Perfctla je širok, saj je Aqua Security identificiral tri strežnike za prenos, uporabljene v napadih, in množico ogroženih spletnih mest. Akterji groženj, ki stojijo za Perfctl, uporabljajo fuzzing sezname prečkanja imenika, ki vsebujejo skoraj 20.000 vnosov za iskanje izpostavljenih konfiguracijskih datotek in skrivnosti. To pojasnjuje, da se napadalci ne zanašajo samo na naključne ranljivosti, ampak sistematično iščejo napačne konfiguracije, da bi jih izkoristili.
Kaj je mogoče storiti?
Odkritje Perfctl poudarja pomen vzdrževanja varnih konfiguracij na strežnikih Linux in čimprejšnjega popravka znanih ranljivosti. Sistemski skrbniki bi morali redno pregledovati svoje sisteme glede neobičajne dejavnosti, zlasti v obdobjih mirovanja, in spremljati sumljiv omrežni promet, ki bi lahko kazal na prisotnost rootkita ali rudarja kriptovalut.
Glede na sofisticirano naravo Perfctl tradicionalni mehanizmi zaznavanja morda ne bodo zadostovali. Organizacije bi morale razmisliti o implementaciji naprednih orodij za odkrivanje groženj in rešitev za spremljanje, ki lahko prepoznajo nenavadne vzorce v vedenju strežnika, tudi če se zlonamerna programska oprema aktivno poskuša skriti.