มัลแวร์ Perfctl กลายเป็นภัยคุกคามเงียบที่แพร่ระบาดไปยังเซิร์ฟเวอร์ Linux หลายพันเครื่อง

จากการค้นพบที่น่าตกใจล่าสุดโดย Aqua Security มัลแวร์แอบแฝงที่มีชื่อว่า Perfctl ได้โจมตีเซิร์ฟเวอร์ Linux อย่างต่อเนื่องมานานกว่าสามปี โดยหลบเลี่ยงการกำหนดค่าเซิร์ฟเวอร์ที่ผิดพลาดและช่องโหว่ต่างๆ มัลแวร์ที่ซับซ้อนนี้โจมตีระบบนับพันระบบ โดยมุ่งเน้นไปที่กลวิธีหลบเลี่ยงและแย่งทรัพยากรเพื่อขุดสกุลเงินดิจิทัล นี่คือสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับกลุ่มมัลแวร์นี้ที่กำลังแพร่ระบาดอย่างเงียบๆ

Perfctl ทำงานอย่างไร

Perfctl ใช้ประโยชน์จากช่องโหว่ที่ทราบและการกำหนดค่าผิดพลาดมากกว่า 20,000 จุดในเซิร์ฟเวอร์ Linux เพื่อสร้างการเข้าถึงแบบต่อเนื่อง เมื่อเข้าไปแล้วจะไม่ส่งสัญญาณเตือนทันที แต่จะทำงานแบบเงียบ ๆ โดยใช้รูทคิทเพื่อซ่อนตัวและเปิดใช้งานเฉพาะเมื่อเซิร์ฟเวอร์ไม่ได้ใช้งาน การสื่อสารกับโครงสร้างพื้นฐานคำสั่งและการควบคุม (C&C) จะได้รับการจัดการอย่างระมัดระวังผ่านซ็อกเก็ต Unix และเครือข่าย Tor เพื่อให้แน่ใจว่าคำสั่งภายนอกนั้นยากต่อการติดตาม

เมื่อมัลแวร์เข้าไปในระบบแล้ว มัลแวร์จะสร้างช่องทางเข้าเพื่อขยายสิทธิ์และอนุญาตให้ผู้ควบคุมควบคุมเซิร์ฟเวอร์ที่ติดเชื้อจากระยะไกล จากนั้น Perfctl จะใช้เครื่องมือสำหรับการลาดตระเวน ปล่อยโปรแกรมขุดสกุลเงินดิจิทัล และใช้ซอฟต์แวร์พร็อกซีเพื่อขโมยทรัพยากรจากระบบที่ถูกบุกรุก ผู้ควบคุมยังใช้มัลแวร์เพิ่มเติม ทำให้เซิร์ฟเวอร์ที่ติดเชื้อเหล่านี้กลายเป็นแหล่งเพาะพันธุ์ของกิจกรรมที่ชั่วร้ายยิ่งขึ้น

การหลบเลี่ยงและการคงอยู่คือกุญแจสำคัญสู่การลอบเร้นของ Perfctl

Perfctl ถูกออกแบบมาเพื่อจุดประสงค์หนึ่งเหนือสิ่งอื่นใด นั่นคือการซ่อนตัว โดยจะปรับเปลี่ยนสคริปต์ของระบบเพื่อให้แน่ใจว่าจะทำงานได้ก่อนเวิร์กโหลดที่ถูกต้องตามกฎหมาย เพื่อรักษาการควบคุมเซิร์ฟเวอร์ นอกจากนี้ Perfctl ยังเชื่อมต่อกับฟังก์ชันการตรวจสอบสิทธิ์ต่างๆ ช่วยให้สามารถหลีกเลี่ยงการตรวจสอบรหัสผ่านหรือแม้แต่บันทึกข้อมูลประจำตัว ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญได้มากขึ้น มัลแวร์ยังไปไกลถึงขั้นระงับการทำงานหากตรวจพบกิจกรรมของผู้ใช้ ทำให้ผู้ดูแลระบบแทบจะมองไม่เห็น

ไบนารีของ Perfctl ที่ถูกแพ็ก แยกส่วน และเข้ารหัส ได้รับการออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับและการวิศวกรรมย้อนกลับ ผู้สร้างได้พยายามอย่างเต็มที่เพื่อให้แน่ใจว่ากลไกการป้องกันแบบเดิมจะไม่ทำงานต่อ Perfctl ที่ทำให้สถานการณ์แย่ลงไปอีกก็คือ Perfctl ไม่เพียงแต่พอใจกับการบุกรุกระบบเท่านั้น แต่ยังค้นหามัลแวร์อื่นๆ บนเซิร์ฟเวอร์และพยายามยุติมัลแวร์เหล่านั้น เพื่อให้แน่ใจว่า Perfctl เป็นมัลแวร์เพียงตัวเดียวที่ทำงานบนระบบ

ช่องโหว่: CVE-2021-4043 ถูกใช้ประโยชน์

จุดเข้าใช้งานที่สำคัญจุดหนึ่งสำหรับ Perfctl คือช่องโหว่ที่ทราบแล้ว: CVE-2021-4043 นี่เป็นจุดบกพร่อง Null pointer dereference ที่มีความรุนแรงปานกลางในกรอบงานมัลติมีเดียโอเพนซอร์ส Gpac Perfctl ใช้จุดบกพร่องนี้เพื่อยกระดับสิทธิ์โดยพยายามเข้าถึงสิทธิ์ระดับรูท แม้ว่าจุดบกพร่องนี้จะถูกเพิ่มเข้าในแค็ตตาล็อก Known Exploited Vulnerabilities ของ CISA เมื่อไม่นานนี้ แต่ยังคงเป็นเป้าหมายของมัลแวร์นี้เนื่องจากยังคงถูกใช้ประโยชน์อย่างต่อเนื่อง

เมื่อ Perfctl เข้าถึงได้ มันจะแพร่กระจายไปทั่วระบบที่ติดเชื้อ คัดลอกตัวเองไปยังหลายตำแหน่ง และแม้แต่ทิ้งยูทิลิตี้ Linux ที่ได้รับการดัดแปลง ซึ่งทำหน้าที่เป็นรูทคิทของยูเซอร์แลนด์ ยูทิลิตี้เหล่านี้จะปกปิดการทำงานของมันเพิ่มเติม และอนุญาตให้โปรแกรมขุดคริปโตทำงานเบื้องหลังโดยไม่มีใครสังเกตเห็น

ขอบเขตของการโจมตี

Perfctl มีขอบเขตที่กว้างขวาง โดย Aqua Security ระบุเซิร์ฟเวอร์ดาวน์โหลดสามเครื่องที่ใช้ในการโจมตีและเว็บไซต์ที่ถูกบุกรุกจำนวนมาก ผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง Perfctl ใช้รายการตรวจสอบการสืบค้นไดเรกทอรีที่มีรายการเกือบ 20,000 รายการเพื่อค้นหาไฟล์การกำหนดค่าและความลับที่เปิดเผย ซึ่งทำให้ชัดเจนว่าผู้โจมตีไม่ได้พึ่งพาช่องโหว่แบบสุ่มเท่านั้น แต่ยังค้นหาการกำหนดค่าที่ไม่ถูกต้องเพื่อใช้ประโยชน์อย่างเป็นระบบอีกด้วย

สามารถทำอะไรได้บ้าง?

การค้นพบ Perfctl เน้นย้ำถึงความสำคัญของการดูแลรักษาการกำหนดค่าที่ปลอดภัยบนเซิร์ฟเวอร์ Linux และการแก้ไขช่องโหว่ที่ทราบโดยเร็วที่สุด ผู้ดูแลระบบควรตรวจสอบระบบของตนเป็นประจำเพื่อดูว่ามีกิจกรรมที่ผิดปกติหรือไม่ โดยเฉพาะในช่วงเวลาที่ไม่ได้ใช้งาน และตรวจสอบการรับส่งข้อมูลเครือข่ายที่น่าสงสัยซึ่งอาจบ่งชี้ถึงการมีอยู่ของรูทคิทหรือโปรแกรมขุดสกุลเงินดิจิทัล

เนื่องจาก Perfctl มีลักษณะที่ซับซ้อน กลไกการตรวจจับแบบเดิมอาจไม่เพียงพอ องค์กรต่างๆ ควรพิจารณาใช้เครื่องมือตรวจจับภัยคุกคามขั้นสูงและโซลูชันการตรวจสอบที่สามารถระบุรูปแบบที่ผิดปกติในการทำงานของเซิร์ฟเวอร์ได้ แม้ว่ามัลแวร์จะพยายามซ่อนตัวอยู่ก็ตาม