Злонамерни софтвер Перфцтл постаје тиха претња која инфицира хиљаде Линук сервера
У недавном алармантном открићу компаније Акуа Сецурити, прикривени малвер под називом Перфцтл активно циља Линук сервере више од три године, провлачећи се кроз пукотине погрешних конфигурација и рањивости сервера. Овај софистицирани малвер је компромитовао хиљаде система, фокусирајући се на тактику избегавања и отмицу ресурса за рударење криптовалуте. Ево шта треба да знате о овој породици малвера која лети испод радара.
Преглед садржаја
Како Перфцтл функционише
Перфцтл искоришћава више од 20.000 познатих рањивости и погрешних конфигурација на Линук серверима да би успоставио упоран приступ. Када уђе, не изазива одмах аларме. Уместо тога, ради тихо, користећи рооткит да се сакрије и активира се само када је сервер неактиван. Комуникацијом са њеном инфраструктуром за команду и контролу (Ц&Ц) се пажљиво управља преко Уник утичнице и Тор мреже, обезбеђујући да је спољним командама тешко ући у траг.
Када се малвер нађе унутар система, он ствара бацкдоор, повећавајући привилегије и омогућавајући својим оператерима да даљински контролишу заражени сервер. Одатле, Перфцтл примењује алате за извиђање, испушта рудар за криптовалуте и користи софтвер за укидање проксија да би украо ресурсе из компромитованих система. Његови оператери такође примењују додатни злонамерни софтвер, чинећи ове заражене сервере леглом за још подле активности.
Избегавање и упорност су кључ Перфцтлове Стеалтх-а
Перфцтл је дизајниран за једну ствар изнад свега: остати сакривен. Модификује системске скрипте како би се осигурало да се покреће пре легитимних радних оптерећења, одржавајући притом сервер. Такође се повезује са различитим функцијама аутентификације, омогућавајући му да заобиђе проверу лозинке или чак да евидентира акредитиве, дајући нападачима даљи приступ осетљивим подацима. Злонамерни софтвер чак иде тако далеко да обуставља своје операције ако открије активност корисника, чинећи га готово невидљивим за администраторе.
Спаковане, огољене и шифроване, Перфцтл-ове бинарне датотеке су дизајниране да избегну откривање и обрнути инжењеринг. Његови творци су се потрудили да осигурају да традиционални одбрамбени механизми неће радити против њега. Да ствар буде још гора, Перфцтл није задовољан само компромитацијом система – он активно тражи други малвер на серверу и покушава да их укине, осигуравајући да је то једини малвер који ради на систему.
Рањивост: ЦВЕ-2021-4043 искоришћен
Једна од критичних улазних тачака за Перфцтл је позната рањивост: ЦВЕ-2021-4043. Ово је грешка за дереференцирање Нулл показивача средње озбиљности у мултимедијском оквиру отвореног кода Гпац. Перфцтл користи ову рањивост да ескалира своје привилегије, покушавајући да добије роот приступ. Иако је грешка недавно додата у ЦИСА-ин каталог познатих експлоатисаних рањивости, она остаје мета за овај малвер због његове експлоатације у дивљини.
Једном када Перфцтл добије приступ, шири се по зараженом систему, копирајући се на више локација, па чак и испушта модификоване Линук услужне програме, који делују као руткит за корисничко земљиште. Ови услужни програми додатно прикривају његове операције и омогућавају криптомајнеру да ради у позадини непримећено.
Обим напада
Перфцтл-ов домет је широк, а Акуа Сецурити идентификује три сервера за преузимање коришћена у нападима и низ компромитованих веб локација. Актери претњи који стоје иза Перфцтл-а користе фуззинг листе за обилазак директоријума које садрже скоро 20.000 уноса за тражење откривених конфигурационих датотека и тајни. Ово јасно даје до знања да се нападачи не ослањају само на насумичне рањивости, већ систематски траже погрешне конфигурације које ће искористити.
Шта се може учинити?
Откриће Перфцтл-а наглашава важност одржавања безбедних конфигурација на Линук серверима и закрпе познатих рањивости што је пре могуће. Администратори система би требало да редовно ревидирају своје системе у потрази за неуобичајеним активностима, посебно током периода мировања, и надгледају сумњив мрежни саобраћај који би могао да укаже на присуство руткита или рудара криптовалута.
С обзиром на софистицирану природу Перфцтл-а, традиционални механизми детекције можда неће бити довољни. Организације би требало да размотре имплементацију напредних алата за откривање претњи и решења за праћење која могу да идентификују необичне обрасце понашања сервера, чак и ако малвер активно покушава да се сакрије.