Phần mềm độc hại Perfctl trở thành mối đe dọa thầm lặng lây nhiễm hàng ngàn máy chủ Linux
Trong một phát hiện đáng báo động gần đây của Aqua Security, một phần mềm độc hại lén lút có tên Perfctl đã tích cực nhắm mục tiêu vào các máy chủ Linux trong hơn ba năm, lọt qua các lỗ hổng và cấu hình máy chủ không đúng. Phần mềm độc hại tinh vi này đã xâm phạm hàng nghìn hệ thống, tập trung vào các chiến thuật trốn tránh và chiếm đoạt tài nguyên để khai thác tiền điện tử. Sau đây là những điều bạn cần biết về họ phần mềm độc hại này đang ẩn mình dưới radar.
Mục lục
Perfctl hoạt động như thế nào
Perfctl khai thác hơn 20.000 lỗ hổng và cấu hình sai đã biết trong các máy chủ Linux để thiết lập quyền truy cập liên tục. Khi đã vào bên trong, nó không ngay lập tức báo động. Thay vào đó, nó hoạt động âm thầm, sử dụng rootkit để ẩn mình và chỉ kích hoạt khi máy chủ không hoạt động. Giao tiếp với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) của nó được quản lý cẩn thận thông qua một ổ cắm Unix và mạng Tor, đảm bảo rằng các lệnh bên ngoài khó bị theo dõi.
Khi phần mềm độc hại đã vào bên trong hệ thống, nó sẽ tạo ra một cửa hậu, tăng đặc quyền và cho phép người điều khiển kiểm soát máy chủ bị nhiễm từ xa. Từ đó, Perfctl triển khai các công cụ để do thám, thả một trình khai thác tiền điện tử và sử dụng phần mềm proxy-jacking để đánh cắp tài nguyên từ các hệ thống bị xâm phạm. Người điều khiển của nó cũng triển khai thêm phần mềm độc hại, biến những máy chủ bị nhiễm này thành nơi sinh sôi cho nhiều hoạt động xấu xa hơn.
Né tránh và kiên trì là chìa khóa cho khả năng tàng hình của Perfctl
Perfctl được thiết kế cho một mục đích trên hết: ẩn mình. Nó sửa đổi các tập lệnh hệ thống để đảm bảo chạy trước các khối lượng công việc hợp lệ, duy trì quyền kiểm soát máy chủ. Nó cũng móc nối vào nhiều chức năng xác thực khác nhau, cho phép nó bỏ qua các lần kiểm tra mật khẩu hoặc thậm chí ghi lại thông tin đăng nhập, giúp kẻ tấn công tiếp cận thêm dữ liệu nhạy cảm. Phần mềm độc hại thậm chí còn đi xa đến mức tạm dừng hoạt động của nó nếu phát hiện ra hoạt động của người dùng, khiến nó gần như vô hình đối với người quản trị.
Được đóng gói, tách và mã hóa, các tệp nhị phân của Perfctl được thiết kế để tránh bị phát hiện và kỹ thuật đảo ngược. Những người tạo ra nó đã nỗ lực hết sức để đảm bảo rằng các cơ chế phòng thủ truyền thống sẽ không có tác dụng chống lại nó. Tệ hơn nữa, Perfctl không chỉ hài lòng với việc xâm phạm hệ thống mà còn chủ động tìm kiếm phần mềm độc hại khác trên máy chủ và cố gắng chấm dứt chúng, đảm bảo rằng nó là phần mềm độc hại duy nhất đang chạy trên hệ thống.
Lỗ hổng: CVE-2021-4043 bị khai thác
Một trong những điểm vào quan trọng của Perfctl là thông qua một lỗ hổng đã biết: CVE-2021-4043. Đây là lỗi tham chiếu con trỏ Null mức độ trung bình trong khuôn khổ đa phương tiện nguồn mở Gpac. Perfctl sử dụng lỗ hổng này để leo thang đặc quyền của mình, cố gắng giành quyền truy cập gốc. Mặc dù lỗi này gần đây đã được thêm vào danh mục Lỗ hổng đã khai thác đã biết của CISA, nhưng nó vẫn là mục tiêu của phần mềm độc hại này do nó vẫn đang bị khai thác trong tự nhiên.
Khi Perfctl có quyền truy cập, nó sẽ lan rộng khắp hệ thống bị nhiễm, sao chép chính nó vào nhiều vị trí và thậm chí xóa các tiện ích Linux đã sửa đổi, hoạt động như rootkit của người dùng. Các tiện ích này tiếp tục che giấu hoạt động của nó và cho phép trình đào tiền điện tử chạy ở chế độ nền mà không bị phát hiện.
Phạm vi của cuộc tấn công
Phạm vi tiếp cận của Perfctl rất rộng, với Aqua Security xác định ba máy chủ tải xuống được sử dụng trong các cuộc tấn công và một loạt các trang web bị xâm phạm. Những kẻ đe dọa đằng sau Perfctl sử dụng danh sách fuzzing thư mục chứa gần 20.000 mục nhập để tìm kiếm các tệp cấu hình và bí mật bị lộ. Điều này cho thấy rõ rằng những kẻ tấn công không chỉ dựa vào các lỗ hổng ngẫu nhiên mà còn tìm kiếm các cấu hình sai một cách có hệ thống để khai thác.
Có thể làm gì?
Việc phát hiện ra Perfctl làm nổi bật tầm quan trọng của việc duy trì cấu hình an toàn trên máy chủ Linux và vá các lỗ hổng đã biết càng sớm càng tốt. Quản trị viên hệ thống nên thường xuyên kiểm tra hệ thống của mình để tìm hoạt động bất thường, đặc biệt là trong thời gian nhàn rỗi và theo dõi lưu lượng mạng đáng ngờ có thể chỉ ra sự hiện diện của rootkit hoặc trình khai thác tiền điện tử.
Do bản chất phức tạp của Perfctl, các cơ chế phát hiện truyền thống có thể không đủ. Các tổ chức nên cân nhắc triển khai các công cụ phát hiện mối đe dọa tiên tiến và các giải pháp giám sát có thể xác định các mô hình bất thường trong hành vi của máy chủ, ngay cả khi phần mềm độc hại đang cố gắng ẩn náu.