Malware Perfctl bëhet një kërcënim i heshtur që infekton mijëra serverë Linux
Në një zbulim të fundit alarmues nga Aqua Security, një malware i fshehtë i quajtur Perfctl ka synuar në mënyrë aktive serverët Linux për më shumë se tre vjet, duke rrëshqitur nëpër të çarat e konfigurimeve të gabuara dhe dobësive të serverëve. Ky malware i sofistikuar ka komprometuar mijëra sisteme, duke u fokusuar në taktikat e evazionit dhe rrëmbimin e burimeve për të minuar kriptomonedhën. Ja çfarë duhet të dini për këtë familje malware që po fluturon nën radar.
Tabela e Përmbajtjes
Si funksionon Perfectl
Perfctl shfrytëzon më shumë se 20,000 dobësi dhe konfigurime të gabuara të njohura në serverët Linux për të krijuar akses të vazhdueshëm. Pasi brenda, nuk ngre menjëherë alarmin. Në vend të kësaj, ai funksionon në heshtje, duke përdorur një rootkit për t'u fshehur dhe aktivizohet vetëm kur serveri është i papunë. Komunikimi me infrastrukturën e tij të komandës dhe kontrollit (C&C) menaxhohet me kujdes përmes një prize Unix dhe rrjetit Tor, duke siguruar që komandat e jashtme janë të vështira për t'u gjurmuar.
Pasi malware është brenda sistemit, ai krijon një derë të pasme, duke përshkallëzuar privilegjet dhe duke lejuar operatorët e tij të kontrollojnë serverin e infektuar nga distanca. Prej andej, Perfctl vendos mjete për zbulim, lëshon një minator të kriptomonedhave dhe përdor softuerin e proxy-jacking për të vjedhur burime nga sistemet e komprometuara. Operatorët e tij vendosin gjithashtu malware shtesë, duke i bërë këta serverë të infektuar terrene për aktivitete më të liga.
Evazioni dhe këmbëngulja është çelësi i vjedhjes së Perfctl
Perfctl është krijuar për një gjë mbi të gjitha: të qëndrosh i fshehur. Ai modifikon skriptet e sistemit për të siguruar që ai të funksionojë përpara ngarkesave legjitime të punës, duke ruajtur kontrollin e tij në server. Ai gjithashtu lidhet me funksione të ndryshme të vërtetimit, duke e lejuar atë të anashkalojë kontrollet e fjalëkalimeve apo edhe kredencialet e log-it, duke u dhënë sulmuesve akses të mëtejshëm në të dhënat e ndjeshme. Malware madje shkon deri në pezullimin e operacioneve të tij nëse zbulon aktivitetin e përdoruesit, duke e bërë atë pothuajse të padukshëm për administratorët.
Të paketuara, të zhveshura dhe të koduara, binarët e Perfctl janë krijuar për të shmangur zbulimin dhe inxhinierinë e kundërt. Krijuesit e tij kanë bërë përpjekje të mëdha për të siguruar që mekanizmat tradicionalë të mbrojtjes nuk do të funksionojnë kundër tij. Për t'i bërë gjërat edhe më keq, Perfctl nuk është i kënaqur vetëm me komprometimin e një sistemi - ai kërkon në mënyrë aktive malware të tjerë në server dhe përpiqet t'i mbyllë ato, duke siguruar që ai është i vetmi malware që funksionon në sistem.
Dobësia: CVE-2021-4043 e shfrytëzuar
Një nga pikat kritike të hyrjes për Perfctl është përmes një cenueshmërie të njohur: CVE-2021-4043. Ky është një defekt i referencës së treguesit Null me ashpërsi mesatare në kuadrin multimedial me burim të hapur Gpac. Perfctl e përdor këtë dobësi për të përshkallëzuar privilegjet e saj, duke u përpjekur të fitojë akses në rrënjë. Megjithëse gabimi u shtua kohët e fundit në katalogun e dobësive të njohura të shfrytëzuara të CISA, ai mbetet një objektiv për këtë malware për shkak të shfrytëzimit të tij të vazhdueshëm në natyrë.
Sapo Perfctl të fitojë akses, ai përhapet në të gjithë sistemin e infektuar, duke kopjuar veten në shumë vende dhe madje lëshon shërbimet e modifikuara Linux, të cilat veprojnë si rootkits të tokës së përdoruesit. Këto shërbime mbulojnë më tej operacionet e tij dhe lejojnë kriptominerin të funksionojë në sfond pa u vënë re.
Shtrirja e sulmit
Shtrirja e Perfctl është e gjerë, me Aqua Security që identifikon tre serverë shkarkimi të përdorur në sulme dhe një mori uebfaqesh të komprometuara. Aktorët e kërcënimit që qëndrojnë pas Perfctl përdorin listat e turbullta të kalimit të drejtorive që përmbajnë rreth 20,000 hyrje për të kërkuar skedarë dhe sekrete të ekspozuara të konfigurimit. Kjo e bën të qartë se sulmuesit nuk po mbështeten vetëm në dobësi të rastësishme, por po kërkojnë sistematikisht për keqkonfigurime për t'u shfrytëzuar.
Çfarë mund të bëhet?
Zbulimi i Perfctl thekson rëndësinë e ruajtjes së konfigurimeve të sigurta në serverët Linux dhe korrigjimin e dobësive të njohura sa më shpejt të jetë e mundur. Administratorët e sistemit duhet të kontrollojnë rregullisht sistemet e tyre për aktivitete të pazakonta, veçanërisht gjatë periudhave boshe, dhe të monitorojnë për trafikun e dyshimtë të rrjetit që mund të tregojë praninë e një rootkit ose minatori të kriptomonedhave.
Duke pasur parasysh natyrën e sofistikuar të Perfctl, mekanizmat tradicionalë të zbulimit mund të mos jenë të mjaftueshëm. Organizatat duhet të konsiderojnë zbatimin e mjeteve të avancuara të zbulimit të kërcënimeve dhe zgjidhjeve të monitorimit që mund të identifikojnë modele të pazakonta në sjelljen e serverit, edhe nëse malware po përpiqet të fshihet në mënyrë aktive.