Perfctl Kötü Amaçlı Yazılımı Binlerce Linux Sunucusunu Etkileyen Sessiz Tehdit Haline Geldi
Aqua Security'nin yakın zamanda yaptığı endişe verici bir keşifte, Perfctl adlı gizli bir kötü amaçlı yazılım, üç yıldan uzun süredir Linux sunucularını aktif olarak hedef alıyor ve sunucu yanlış yapılandırmaları ve güvenlik açıklarının çatlaklarından sıyrılıyor. Bu karmaşık kötü amaçlı yazılım, kripto para madenciliği için kaçınma taktiklerine ve kaynakları ele geçirmeye odaklanarak binlerce sistemi tehlikeye attı. İşte radar altında uçan bu kötü amaçlı yazılım ailesi hakkında bilmeniz gerekenler.
İçindekiler
Perfctl Nasıl Çalışır
Perfctl, kalıcı erişim sağlamak için Linux sunucularındaki 20.000'den fazla bilinen güvenlik açığını ve yanlış yapılandırmayı kullanır. İçeri girdikten sonra hemen alarm vermez. Bunun yerine sessizce çalışır, kendini gizlemek için bir kök araç takımı kullanır ve yalnızca sunucu boştayken etkinleşir. Komuta ve kontrol (C&C) altyapısıyla iletişim, bir Unix soketi ve Tor ağı aracılığıyla dikkatlice yönetilir ve böylece harici komutların izlenmesi zor olur.
Kötü amaçlı yazılım sisteme girdiğinde, bir arka kapı oluşturur, ayrıcalıkları artırır ve operatörlerinin enfekte olmuş sunucuyu uzaktan kontrol etmesine olanak tanır. Perfctl, buradan keşif için araçlar dağıtır, bir kripto para madencisi bırakır ve tehlikeye atılmış sistemlerden kaynakları çalmak için proxy-jacking yazılımı kullanır. Operatörleri ayrıca ek kötü amaçlı yazılımlar dağıtır ve bu enfekte olmuş sunucuları daha kötü niyetli faaliyetler için üreme alanı haline getirir.
Kaçınma ve Israr Perfctl'in Gizliliğinin Anahtarıdır
Perfctl her şeyden önce tek bir şey için tasarlanmıştır: gizli kalmak. Meşru iş yüklerinden önce çalışmasını sağlamak için sistem betiklerini değiştirir ve sunucu üzerindeki hakimiyetini sürdürür. Ayrıca çeşitli kimlik doğrulama işlevlerine bağlanarak parola kontrollerini atlatmasına veya hatta kimlik bilgilerini kaydetmesine olanak tanır ve saldırganlara hassas verilere daha fazla erişim sağlar. Kötü amaçlı yazılım, kullanıcı etkinliği algıladığında işlemlerini askıya alacak kadar ileri gider ve bu da onu yöneticiler için neredeyse görünmez hale getirir.
Paketlenmiş, soyulmuş ve şifrelenmiş Perfctl'nin ikili dosyaları, tespit edilmekten ve tersine mühendislikten kaçınmak için tasarlanmıştır. Yaratıcıları, geleneksel savunma mekanizmalarının buna karşı çalışmayacağından emin olmak için büyük çaba sarf etmiştir. Daha da kötüsü, Perfctl yalnızca bir sistemi tehlikeye atmakla yetinmez; sunucudaki diğer kötü amaçlı yazılımları aktif olarak arar ve onları sonlandırmaya çalışır, böylece sistemde çalışan tek kötü amaçlı yazılımın kendisi olduğundan emin olur.
Güvenlik Açığı: CVE-2021-4043 İstismar Edildi
Perfctl için kritik giriş noktalarından biri bilinen bir güvenlik açığıdır: CVE-2021-4043. Bu, açık kaynaklı multimedya çerçevesi Gpac'ta orta şiddette bir Null işaretçisi başvuru hatasıdır. Perfctl, ayrıcalıklarını yükseltmek ve kök erişimi elde etmeye çalışmak için bu güvenlik açığını kullanır. Hata yakın zamanda CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklenmiş olsa da, vahşi doğada devam eden istismarı nedeniyle bu kötü amaçlı yazılım için bir hedef olmaya devam ediyor.
Perfctl erişim kazandığında, enfekte olmuş sisteme yayılır, kendisini birden fazla konuma kopyalar ve hatta kullanıcı alanı kök kitleri gibi davranan değiştirilmiş Linux yardımcı programlarını bile düşürür. Bu yardımcı programlar, işlemlerini daha da gizler ve kripto madencinin fark edilmeden arka planda çalışmasına olanak tanır.
Saldırının Kapsamı
Perfctl'nin etki alanı geniştir ve Aqua Security saldırılarda kullanılan üç indirme sunucusunu ve bir dizi tehlikeye atılmış web sitesini belirlemiştir. Perfctl'nin arkasındaki tehdit aktörleri, ifşa edilmiş yapılandırma dosyalarını ve sırlarını aramak için yaklaşık 20.000 giriş içeren dizin geçiş bulanıklaştırma listelerini kullanır. Bu, saldırganların yalnızca rastgele güvenlik açıklarına güvenmediklerini, aynı zamanda istismar etmek için sistematik olarak yanlış yapılandırmaları aradıklarını açıkça ortaya koymaktadır.
Ne Yapılabilir?
Perfctl'nin keşfi, Linux sunucularında güvenli yapılandırmaların sürdürülmesinin ve bilinen güvenlik açıklarının mümkün olan en kısa sürede yamalanmasının önemini vurgulamaktadır. Sistem yöneticileri, özellikle boşta kalma dönemlerinde sistemlerini düzenli olarak olağandışı etkinlik açısından denetlemeli ve bir rootkit veya kripto para madencisinin varlığını gösterebilecek şüpheli ağ trafiğini izlemelidir.
Perfctl'nin karmaşık yapısı göz önüne alındığında, geleneksel tespit mekanizmaları yeterli olmayabilir. Kuruluşlar, kötü amaçlı yazılım aktif olarak gizlenmeye çalışsa bile sunucu davranışındaki alışılmadık kalıpları belirleyebilen gelişmiş tehdit tespit araçları ve izleme çözümleri uygulamayı düşünmelidir.