Ang Perfctl Malware ay Nagiging Tahimik na Panganib na Nakakahawa sa Libo-libong Linux Server
Sa isang kamakailang nakababahala na pagtuklas ng Aqua Security, isang palihim na malware na pinangalanang Perfctl ang aktibong nagta-target sa mga server ng Linux sa loob ng mahigit tatlong taon, na pumapasok sa mga bitak ng mga maling pagsasaayos at kahinaan ng server. Ang sopistikadong malware na ito ay nakompromiso ang libu-libong system, na nakatuon sa mga taktika sa pag-iwas at pag-hijack ng mga mapagkukunan upang minahan ng cryptocurrency. Narito ang kailangan mong malaman tungkol sa pamilya ng malware na ito na lumilipad sa ilalim ng radar.
Talaan ng mga Nilalaman
Paano Gumagana ang Perfctl
Sinasamantala ng Perfctl ang higit sa 20,000 kilalang mga kahinaan at maling pagsasaayos sa mga server ng Linux upang magtatag ng patuloy na pag-access. Kapag nasa loob, hindi agad ito nag-alarm. Sa halip, ito ay gumagana nang tahimik, gamit ang isang rootkit upang itago ang sarili nito at mag-a-activate lamang kapag ang server ay idle. Ang komunikasyon sa imprastraktura ng command-and-control (C&C) nito ay maingat na pinamamahalaan sa pamamagitan ng Unix socket at Tor network, na tinitiyak na ang mga panlabas na command ay mahirap masubaybayan.
Kapag ang malware ay nasa loob na ng system, lumilikha ito ng backdoor, lumalaki ang mga pribilehiyo at pinapayagan ang mga operator nito na kontrolin ang infected na server nang malayuan. Mula doon, ang Perfctl ay nag-deploy ng mga tool para sa reconnaissance, nag-drop ng isang cryptocurrency na minero, at gumagamit ng proxy-jacking software upang magnakaw ng mga mapagkukunan mula sa mga nakompromisong system. Nag-deploy din ang mga operator nito ng karagdagang malware, na ginagawang mga lugar ng pag-aanak ang mga nahawaang server na ito para sa mas masasamang aktibidad.
Ang Pag-iwas at Pagpupursige ay Ang Susi sa Palihim ni Perfctl
Ang Perfctl ay inhinyero para sa isang bagay higit sa lahat: pananatiling nakatago. Binabago nito ang mga script ng system upang matiyak na tumatakbo ito bago ang mga lehitimong workload, na pinapanatili ang pagkakahawak nito sa server. Nakakabit din ito sa iba't ibang function ng pagpapatotoo, na nagbibigay-daan dito na i-bypass ang mga tseke ng password o kahit na mag-log ng mga kredensyal, na nagbibigay ng karagdagang access sa mga umaatake sa sensitibong data. Ang malware ay umabot pa sa pagsususpinde sa mga operasyon nito kung nakita nito ang aktibidad ng user, na ginagawa itong halos hindi nakikita ng mga administrator.
Naka-pack, hinubad, at naka-encrypt, ang mga binary ng Perfctl ay idinisenyo upang maiwasan ang pagtuklas at reverse engineering. Ang mga tagalikha nito ay gumawa nang husto upang matiyak na ang mga tradisyonal na mekanismo ng pagtatanggol ay hindi gagana laban dito. Ang masama pa nito, hindi lang nasisiyahan ang Perfctl sa pagkompromiso sa isang system—aktibo itong naghahanap ng iba pang malware sa server at sinusubukang wakasan ang mga ito, tinitiyak na ito lang ang malware na tumatakbo sa system.
Ang Kahinaan: CVE-2021-4043 Pinagsasamantalahan
Ang isa sa mga kritikal na entry point para sa Perfctl ay sa pamamagitan ng isang kilalang kahinaan: CVE-2021-4043. Isa itong medium-severity Null pointer dereference bug sa open-source multimedia framework na Gpac. Ginagamit ng Perfctl ang kahinaang ito upang palakihin ang mga pribilehiyo nito, sinusubukang makakuha ng root access. Bagama't kamakailang idinagdag ang bug sa Catalog ng Kilalang Pinagsasamantalahang mga Vulnerabilities ng CISA, nananatili itong target para sa malware na ito dahil sa patuloy na pagsasamantala nito sa ligaw.
Sa sandaling magkaroon ng access ang Perfctl, kumakalat ito sa nahawaang system, kinokopya ang sarili nito sa maraming lokasyon, at ibinabagsak pa ang mga binagong Linux utilities, na nagsisilbing rootkit ng userland. Ang mga utilidad na ito ay higit pang nagtatago sa mga operasyon nito at pinapayagan ang cryptominer na tumakbo sa background nang hindi napapansin.
Ang Saklaw ng Pag-atake
Malawak ang naaabot ng Perfctl, kung saan tinutukoy ng Aqua Security ang tatlong server ng pag-download na ginamit sa mga pag-atake at maraming mga nakompromisong website. Gumagamit ang mga banta na aktor sa likod ng Perfctl ng mga listahan ng paglalaro ng direktoryo na naglalaman ng halos 20,000 mga entry upang maghanap ng mga nakalantad na file ng pagsasaayos at mga lihim. Nililinaw nito na ang mga umaatake ay hindi lamang umaasa sa mga random na kahinaan ngunit sistematikong naghahanap ng mga maling pagsasaayos upang pagsamantalahan.
Ano ang Magagawa?
Ang pagtuklas ng Perfctl ay nagpapakita ng kahalagahan ng pagpapanatili ng mga secure na configuration sa mga server ng Linux at pag-patch ng mga kilalang kahinaan sa lalong madaling panahon. Dapat na regular na i-audit ng mga administrator ng system ang kanilang mga system para sa hindi pangkaraniwang aktibidad, lalo na sa mga panahong walang ginagawa, at subaybayan ang kahina-hinalang trapiko sa network na maaaring magpahiwatig ng pagkakaroon ng rootkit o cryptocurrency na minero.
Dahil sa sopistikadong katangian ng Perfctl, maaaring hindi sapat ang mga tradisyonal na mekanismo ng pagtuklas. Dapat isaalang-alang ng mga organisasyon ang pagpapatupad ng mga advanced na tool sa pagtukoy ng pagbabanta at mga solusyon sa pagsubaybay na maaaring tumukoy ng mga hindi pangkaraniwang pattern sa gawi ng server, kahit na aktibong sinusubukang itago ng malware.