Perfctl Malware blir det tysta hotet som infekterar tusentals Linux-servrar
I en nyligen alarmerande upptäckt av Aqua Security har en smyg skadlig programvara som heter Perfctl aktivt riktat sig mot Linux-servrar i över tre år, och glidit igenom sprickorna av serverfelkonfigurationer och sårbarheter. Denna sofistikerade skadliga programvara har äventyrat tusentals system, med fokus på undanflyktstaktik och kapning av resurser för att bryta kryptovaluta. Här är vad du behöver veta om denna skadliga programfamilj som flyger under radarn.
Innehållsförteckning
Hur Perfctl fungerar
Perfctl utnyttjar mer än 20 000 kända sårbarheter och felkonfigurationer i Linux-servrar för att etablera beständig åtkomst. Väl inne larmar den inte omedelbart. Istället fungerar det tyst, använder ett rootkit för att gömma sig och aktiveras bara när servern är inaktiv. Kommunikation med dess kommando-och-kontroll-infrastruktur (C&C) hanteras noggrant genom en Unix-socket och Tor-nätverket, vilket säkerställer att externa kommandon är svåra att spåra.
När skadlig programvara är inne i systemet skapar den en bakdörr, eskalerar privilegier och tillåter dess operatörer att fjärrstyra den infekterade servern. Därifrån distribuerar Perfctl verktyg för spaning, släpper en gruvarbetare för kryptovaluta och använder proxy-jacking-mjukvara för att stjäla resurser från komprometterade system. Dess operatörer distribuerar också ytterligare skadlig programvara, vilket gör dessa infekterade servrar till grogrund för skändligare aktiviteter.
Undvikande och uthållighet är nyckeln till Perfctls smygande
Perfctl är konstruerad för en sak framför allt: att hålla sig gömd. Den modifierar systemskripten för att säkerställa att den körs före legitima arbetsbelastningar och behåller sitt grepp om servern. Den kopplar även in i olika autentiseringsfunktioner, vilket gör att den kan kringgå lösenordskontroller eller till och med logga inloggningsuppgifter, vilket ger angripare ytterligare tillgång till känsliga data. Skadlig programvara går till och med så långt att den avbryter sin verksamhet om den upptäcker användaraktivitet, vilket gör den nästan osynlig för administratörer.
Packade, avskalade och krypterade, Perfctls binärfiler är designade för att undvika upptäckt och omvänd ingenjörskonst. Dess skapare har gått långt för att se till att traditionella försvarsmekanismer inte kommer att motarbeta det. För att göra saken värre, nöjer sig Perfctl inte bara med att kompromissa med ett system – den söker aktivt efter annan skadlig programvara på servern och försöker avsluta dem, för att säkerställa att det är den enda skadliga programvaran som körs på systemet.
Sårbarheten: CVE-2021-4043 utnyttjas
En av de kritiska ingångspunkterna för Perfctl är genom en känd sårbarhet: CVE-2021-4043. Detta är en medellång allvarlig Null-pekare-dereferencebugg i multimediaramverket Gpac med öppen källkod. Perfctl använder denna sårbarhet för att eskalera sina privilegier och försöker få root-åtkomst. Även om buggen nyligen lades till i CISA:s katalog över kända exploaterade sårbarheter, är den fortfarande ett mål för denna skadliga programvara på grund av dess pågående exploatering i naturen.
När Perfctl väl får åtkomst sprider det sig över det infekterade systemet, kopierar sig själv till flera platser och släpper till och med modifierade Linux-verktyg, som fungerar som rootkits för användarland. Dessa verktyg döljer dess verksamhet ytterligare och låter kryptomineraren köra i bakgrunden obemärkt.
Attackens omfattning
Perfctls räckvidd är bred, med Aqua Security som identifierar tre nedladdningsservrar som användes i attackerna och en mängd komprometterade webbplatser. Hotaktörerna bakom Perfctl använder fuzzinglistor för kataloggenomgång som innehåller nästan 20 000 poster för att söka efter exponerade konfigurationsfiler och hemligheter. Detta gör det tydligt att angriparna inte bara förlitar sig på slumpmässiga sårbarheter utan systematiskt söker efter felkonfigurationer att utnyttja.
Vad kan göras?
Upptäckten av Perfctl understryker vikten av att upprätthålla säkra konfigurationer på Linux-servrar och korrigera kända sårbarheter så snart som möjligt. Systemadministratörer bör regelbundet granska sina system för ovanlig aktivitet, särskilt under viloperioder, och övervaka efter misstänkt nätverkstrafik som kan indikera närvaron av ett rootkit eller kryptovalutaminer.
Med tanke på den sofistikerade karaktären hos Perfctl kanske traditionella detektionsmekanismer inte räcker. Organisationer bör överväga att implementera avancerade verktyg för upptäckt av hot och övervakningslösningar som kan identifiera ovanliga mönster i serverbeteende, även om skadlig programvara aktivt försöker gömma sig.