Зловмисне програмне забезпечення Perfctl
Різновид загрозливого програмного забезпечення заразило тисячі систем на базі Linux. Він виділяється своїм прихованим підходом, широким спектром неправильних конфігурацій, які він може використовувати, і широким спектром шкідливих дій, які він може виконувати.
Ця загроза, вперше виявлена у 2021 році, використовує понад 20 000 поширених неправильних конфігурацій для проникнення в системи, створюючи ризик для мільйонів пристроїв, підключених до Інтернету. Крім того, він використовує переваги CVE-2023-33426, критичної вразливості з максимальним показником серйозності 10, яку було виправлено минулого року в Apache RocketMQ, платформі обміну повідомленнями та потокової передачі, яка широко використовується в системах Linux.
Зміст
Зловмисне програмне забезпечення Perfctl має широкий набір зловмисних можливостей
Perfctl отримав свою назву від шкідливого компонента, який таємно майнить криптовалюту. Розробники, особи яких залишаються невідомими, поєднали назву інструменту моніторингу продуктивності Linux «perf» із «ctl», поширеною абревіатурою в утилітах командного рядка. Примітною особливістю Perfctl є використання імен процесів і файлів, які дуже схожі на ті, що зазвичай зустрічаються в середовищах Linux, що дозволяє йому уникнути виявлення ураженими користувачами.
Щоб ще більше приховати свою присутність, Perfctl використовує різні тактики скритності. Серед них – встановлення багатьох компонентів як руткітів, спеціальної категорії зловмисного програмного забезпечення, призначеного для приховування від операційної системи та інструментів адміністрування. Додаткові стратегії ухилення включають:
- Припинення легко виявлених дій після входу нових користувачів
- Використання сокету Unix через TOR для зовнішнього зв’язку
- Видалення інсталяційного двійкового файлу після виконання та подальшого запуску як фонової служби
- Маніпулювання процесом Linux pcap_loop за допомогою техніки, відомої як підключення, щоб запобігти запису зловмисного трафіку адміністративними інструментами
- Придушення помилок повідомлень, щоб уникнути видимих сповіщень під час виконання.
Perfctl створено для стійкості, що дозволяє йому залишатися на заражених машинах навіть після перезавантаження або спроби видалення основних компонентів. Це досягається за допомогою таких методів, як модифікація сценарію ~/.profile, який ініціалізує середовище під час входу користувача, дозволяючи зловмисному програмному забезпеченню завантажуватися раніше, ніж законні серверні процеси. Він також копіюється з пам’яті на кілька дисків. Підключення pcap_loop додатково підвищує стійкість, дозволяючи небезпечним діям продовжуватися навіть після виявлення та видалення основних корисних навантажень.
Окрім використання системних ресурсів для майнінгу криптовалюти, Perfctl перетворює заражену машину на проксі-сервер, що приносить прибуток, дозволяючи платним клієнтам передавати свій інтернет-трафік. Дослідники з кібербезпеки також відзначили, що зловмисне програмне забезпечення функціонує як бекдор для встановлення інших сімей шкідливих програм.
Потік атаки зараження зловмисним програмним забезпеченням Perfctl
Скориставшись уразливістю або неправильною конфігурацією, код експлойту завантажує основне корисне навантаження зі зламаного сервера, який було перетворено на анонімний канал розповсюдження зловмисного програмного забезпечення. У розглянутій атаці корисне навантаження було названо httpd. Після виконання файл копіюється з пам’яті в нове розташування в каталозі /temp, запускає скопійовану версію, завершує вихідний процес і видаляє завантажений двійковий файл.
Після переміщення в каталог /tmp файл виконується під іншою назвою, яка імітує відомий процес Linux, у цьому випадку конкретно названий sh. Згодом він встановлює локальний процес командування та управління (C2). Він прагне отримати привілеї кореневої системи, використовуючи CVE-2021-4043, уразливість підвищення привілеїв, яку було виправлено в 2021 році в Gpac, популярному мультимедійному фреймворку з відкритим кодом.
Потім зловмисне програмне забезпечення копіюється з пам’яті на кілька інших місць диска, знову використовуючи імена, які нагадують звичайні системні файли. Він також розгортає руткіт разом із набором часто використовуваних утиліт Linux, які були змінені, щоб функціонувати як руткіти, разом із компонентом майнінгу. У деяких випадках зловмисне програмне забезпечення встановлює програмне забезпечення для «проксі-джекінгу», що означає приховану маршрутизацію трафіку через заражену машину, приховуючи справжнє походження даних.
У рамках своїх операцій C2 зловмисне програмне забезпечення відкриває сокет Unix, створює два каталоги в каталозі /tmp і зберігає там робочі дані. Ці дані включають події на хості, розташування його копій, імена процесів, журнали зв’язку, маркери та додаткову інформацію журналу. Крім того, він використовує змінні середовища для зберігання даних, які впливають на його виконання та поведінку.
Усі двійкові файли упаковані, видалені та зашифровані, що демонструє тверду прихильність уникненню заходів безпеки та ускладненню спроб зворотного проектування. Зловмисне програмне забезпечення використовує вдосконалену тактику ухилення, наприклад призупинення своєї діяльності, коли воно виявляє нового користувача у файлах btmp або utmp, і припинення дії будь-якого конкуруючого шкідливого програмного забезпечення, щоб зберегти домінування над зараженою системою.
Perfctl ставить під загрозу десятки тисяч пристроїв
Аналізуючи дані про кількість серверів Linux, підключених до Інтернету через різні служби та програми, дослідники підрахували, що Perfctl заражені тисячі машин. Їхні висновки показують, що пул уразливих машин — тих, на яких ще не застосовано виправлення для CVE-2023-33426 або мають неправильні конфігурації — становить мільйони. Однак дослідники ще не оцінили загальний обсяг криптовалюти, згенерованої шкідливими майнерами.
Щоб перевірити, чи їхній пристрій було націлено або заражено Perfctl, користувачі повинні шукати виявлені ознаки компрометації. Крім того, вони повинні бути пильними щодо незвичайних стрибків у використанні ЦП або неочікуваних уповільнень системи, особливо під час періодів простою.
