Perfctl 惡意軟體成為感染數千台 Linux 伺服器的無聲威脅

Aqua Security 最近發現了一項令人震驚的發現，一種名為Perfctl的隱密惡意軟體三年多以來一直積極針對 Linux 伺服器，利用伺服器錯誤配置和漏洞進行攻擊。這種複雜的惡意軟體已經危害了數千個系統，主要採用規避策略和劫持資源來挖掘加密貨幣。以下是您需要了解的關於這個隱藏的惡意軟體家族的資訊。

Perfctl 如何運作

Perfctl 利用 Linux 伺服器中 20,000 多個已知漏洞和錯誤配置來建立持久存取。一旦進入，它不會立即發出警報。相反，它會默默地工作，使用 rootkit 來隱藏自己，並且僅在伺服器空閒時啟動。與其命令與控制 (C&C) 基礎設施的通訊透過 Unix 套接字和 Tor 網路進行仔細管理，確保外部命令難以追蹤。

一旦惡意軟體進入系統，它就會創建一個後門，提升權限並允許其操作員遠端控制受感染的伺服器。從那裡，Perfctl 部署偵察工具，刪除加密貨幣挖礦程序，並使用代理劫持軟體從受感染的系統竊取資源。其運營商還部署了額外的惡意軟體，使這些受感染的伺服器成為更多邪惡活動的溫床。

逃避和堅持是Perfctl隱身的關鍵

Perfctl 的設計目的首先是為了一件事：保持隱藏。它修改系統腳本以確保其在合法工作負載之前運行，從而保持對伺服器的控制。它還連接到各種身份驗證功能，使其能夠繞過密碼檢查甚至記錄憑證，從而使攻擊者能夠進一步存取敏感資料。如果偵測到使用者活動，該惡意軟體甚至會暫停其操作，使管理員幾乎看不到它。

Perfctl 的二進位檔案經過打包、剝離和加密，旨在逃避偵測和逆向工程。它的創建者竭盡全力確保傳統的防禦機制不會對其產生不利影響。更糟的是，Perfctl 不僅僅滿足於破壞系統，它還會主動尋找伺服器上的其他惡意軟體並嘗試終止它們，以確保它是系統上運行的唯一惡意軟體。

漏洞：CVE-2021-4043 已被利用

Perfctl 的關鍵入口點之一是透過一個已知漏洞：CVE-2021-4043。這是開源多媒體框架 Gpac 中的一個中等嚴重性的空指標取消引用錯誤。 Perfctl 利用此漏洞提升權限，嘗試取得 root 存取權限。儘管該漏洞最近已添加到 CISA 的已知利用漏洞目錄中，但由於其在野外的持續利用，它仍然是該惡意軟體的目標。

一旦 Perfctl 獲得存取權限，它就會在受感染的系統中傳播，將自身複製到多個位置，甚至刪除修改後的 Linux 實用程序，這些實用程式充當用戶態 rootkit。這些實用程式進一步隱藏了其操作，並允許加密挖礦程式在後台運行而不被注意到。

攻擊範圍

Perfctl 的影響範圍很廣，Aqua Security 識別出了攻擊中使用的三個下載伺服器以及大量受損網站。 Perfctl 背後的威脅參與者使用包含近 20,000 個條目的目錄遍歷模糊測試清單來搜尋暴露的設定檔和機密。這清楚地表明，攻擊者不僅僅依賴隨機漏洞，而且正在系統地搜尋錯誤配置以進行利用。

可以做什麼？

Perfctl 的發現凸顯了在 Linux 伺服器上維護安全配置和盡快修補已知漏洞的重要性。系統管理員應定期審核其係統是否有異常活動，尤其是在空閒期間，並監視可能表示存在 rootkit 或加密貨幣挖礦程式的可疑網路流量。

鑑於 Perfctl 的複雜性，傳統的檢測機制可能還不夠。組織應考慮實施先進的威脅偵測工具和監控解決方案，以識別伺服器行為中的異常模式，即使惡意軟體正在積極嘗試隱藏。