Зловмисне програмне забезпечення Perfctl стає тихою загрозою, яка заражає тисячі серверів Linux
Згідно з нещодавнім тривожним відкриттям Aqua Security, приховане зловмисне програмне забезпечення під назвою Perfctl активно націлювалося на сервери Linux понад три роки, прослизаючи крізь щілини через неправильну конфігурацію та вразливості сервера. Це складне шкідливе програмне забезпечення скомпрометувало тисячі систем, зосереджуючись на тактиці ухилення та викрадення ресурсів для майнінгу криптовалюти. Ось що вам потрібно знати про це сімейство зловмисних програм, яке залишається поза увагою.
Зміст
Як працює Perfctl
Perfctl використовує понад 20 000 відомих уразливостей і неправильних конфігурацій на серверах Linux для встановлення постійного доступу. Потрапляючи всередину, він не відразу викликає тривогу. Натомість він працює безшумно, використовуючи руткіт, щоб приховати себе, і активується лише тоді, коли сервер неактивний. Зв’язок із інфраструктурою командування та контролю (C&C) ретельно керується через сокет Unix і мережу Tor, що гарантує, що зовнішні команди важко відстежити.
Коли зловмисне програмне забезпечення потрапляє в систему, воно створює бекдор, підвищуючи привілеї та дозволяючи своїм операторам віддалено контролювати заражений сервер. Звідти Perfctl розгортає інструменти для розвідки, скидає майнер криптовалюти та використовує програмне забезпечення для викрадення проксі-серверів, щоб викрасти ресурси зі зламаних систем. Його оператори також розгортають додаткові зловмисні програми, що робить ці заражені сервери розсадником для більш мерзенної діяльності.
Ухилення та наполегливість є ключем до скритності Perfctl
Perfctl створено для однієї речі понад усе: залишатися прихованими. Він змінює системні сценарії, щоб гарантувати, що він виконується перед допустимими навантаженнями, зберігаючи контроль над сервером. Він також підключається до різних функцій автентифікації, дозволяючи йому обходити перевірку пароля або навіть облікові дані журналу, надаючи зловмисникам подальший доступ до конфіденційних даних. Зловмисне програмне забезпечення навіть призупиняє свою роботу, якщо виявляє активність користувача, роблячи його майже невидимим для адміністраторів.
Запаковані, очищені та зашифровані двійкові файли Perfctl створені для уникнення виявлення та зворотного проектування. Його творці доклали чимало зусиль, щоб традиційні захисні механізми не спрацювали проти нього. Що ще гірше, Perfctl не задовольняється лише компрометацією системи — він активно шукає інше зловмисне програмне забезпечення на сервері та намагається припинити їх роботу, гарантуючи, що це єдине шкідливе програмне забезпечення, запущене в системі.
Уразливість: використано CVE-2021-4043
Однією з критичних точок входу для Perfctl є відома вразливість: CVE-2021-4043. Це помилка розіменування нульового вказівника середнього рівня в мультимедійній структурі з відкритим кодом Gpac. Perfctl використовує цю вразливість для підвищення своїх привілеїв, намагаючись отримати root-доступ. Хоча цю помилку нещодавно було додано до каталогу CISA Known Exploited Vulnerabilities, вона залишається мішенню для цього шкідливого програмного забезпечення через його постійну експлуатацію в дикій природі.
Як тільки Perfctl отримує доступ, він поширюється по всій зараженій системі, копіюючи себе в кілька місць і навіть видаляючи модифіковані утиліти Linux, які діють як руткіти для користувачів. Ці утиліти додатково маскують його операції та дозволяють криптомайнеру працювати у фоновому режимі непомітно.
Масштаби атаки
Perfctl має широкий охоплення: Aqua Security ідентифікує три сервери завантаження, використані в атаках, і низку скомпрометованих веб-сайтів. Зловмисники Perfctl використовують списки фаззингу обходу каталогу, що містять майже 20 000 записів, для пошуку відкритих конфігураційних файлів і секретів. Це дає зрозуміти, що зловмисники не просто покладаються на випадкові вразливості, а й систематично шукають неправильні конфігурації, щоб використати їх.
Що можна зробити?
Відкриття Perfctl підкреслює важливість підтримки безпечних конфігурацій на серверах Linux і якнайшвидшого виправлення відомих вразливостей. Системним адміністраторам слід регулярно перевіряти свої системи на наявність незвичайної активності, особливо в періоди простою, і відстежувати підозрілий мережевий трафік, який може вказувати на наявність руткіта або майнера криптовалюти.
Враховуючи складний характер Perfctl, традиційних механізмів виявлення може бути недостатньо. Організаціям слід розглянути можливість впровадження розширених інструментів виявлення загроз і рішень моніторингу, які можуть ідентифікувати незвичні шаблони в поведінці сервера, навіть якщо зловмисне програмне забезпечення активно намагається приховатися.