Perfctl 恶意软件成为感染数千台 Linux 服务器的无声威胁

Aqua Security 最近发现，一种名为Perfctl的隐秘恶意软件三年多来一直在积极攻击 Linux 服务器，利用服务器配置错误和漏洞。这种复杂的恶意软件已经入侵了数千个系统，专注于逃避攻击策略并劫持资源来挖掘加密货币。以下是您需要了解的有关这个隐蔽恶意软件家族的信息。

Perfctl 如何运作

Perfctl 利用 Linux 服务器中超过 20,000 个已知漏洞和错误配置来建立持久访问。一旦进入，它不会立即发出警报。相反，它会悄无声息地工作，使用 rootkit 隐藏自身，并且仅在服务器空闲时激活。与其命令和控制 (C&C) 基础设施的通信通过 Unix 套接字和 Tor 网络进行精心管理，确保外部命令难以追踪。

一旦恶意软件进入系统，它就会创建一个后门，提升权限并允许其操作员远程控制受感染的服务器。从那里，Perfctl 部署侦察工具，删除加密货币矿工，并使用代理劫持软件从受感染的系统中窃取资源。其操作员还会部署其他恶意软件，使这些受感染的服务器成为更多恶意活动的滋生地。

逃避和持久性是 Perfctl 隐身的关键

Perfctl 的设计初衷是：保持隐蔽。它会修改系统脚本，确保在合法工作负载之前运行，从而保持对服务器的控制。它还会挂接各种身份验证功能，从而绕过密码检查甚至记录凭据，让攻击者进一步访问敏感数据。如果检测到用户活动，该恶意软件甚至会暂停其运行，让管理员几乎无法发现它。

Perfctl 的二进制文件经过打包、剥离和加密，旨在逃避检测和逆向工程。它的创建者竭尽全力确保传统防御机制无法对它起作用。更糟糕的是，Perfctl 不仅仅满足于入侵系统 - 它会主动寻找服务器上的其他恶意软件并试图终止它们，确保它是系统上运行的唯一恶意软件。

漏洞：CVE-2021-4043 被利用

Perfctl 的一个关键入口点是通过一个已知漏洞：CVE-2021-4043。这是开源多媒体框架 Gpac 中的一个中等严重程度的空指针取消引用错误。Perfctl 利用此漏洞提升其权限，试图获得 root 访问权限。尽管该漏洞最近被添加到 CISA 的已知被利用漏洞目录中，但由于它在野外持续被利用，它仍然是该恶意软件的目标。

一旦 Perfctl 获得访问权限，它就会在受感染的系统中传播，将自身复制到多个位置，甚至会植入经过修改的 Linux 实用程序，这些实用程序充当用户空间 rootkit。这些实用程序进一步掩盖了其操作，并允许加密货币挖矿程序在后台运行而不被察觉。

攻击范围

Perfctl 的攻击范围很广，Aqua Security 确定了攻击中使用的三个下载服务器和大量受感染的网站。Perfctl 背后的威胁行为者使用包含近 20,000 个条目的目录遍历模糊测试列表来搜索暴露的配置文件和机密。这清楚地表明，攻击者不仅依赖随机漏洞，而且还在系统地搜索要利用的错误配置。

我们能做什么？

Perfctl 的发现凸显了维护 Linux 服务器安全配置和尽快修补已知漏洞的重要性。系统管理员应定期审核其系统是否存在异常活动，尤其是在空闲期间，并监控可能表明存在 rootkit 或加密货币矿工的可疑网络流量。

鉴于 Perfctl 的复杂性，传统的检测机制可能不够用。组织应考虑实施高级威胁检测工具和监控解决方案，这些工具和解决方案可以识别服务器行为中的异常模式，即使恶意软件正在积极试图隐藏。