Perfctl злонамерен софтуер
Разновидност на заплашителен софтуер е заразил хиляди базирани на Linux системи. Той се отличава със своя скрит подход, широкия набор от неправилни конфигурации, които може да използва, и широкия набор от вредни действия, които може да извърши.
Открита за първи път през 2021 г., тази заплаха използва над 20 000 често срещани неправилни конфигурации, за да проникне в системите, представлявайки риск за милиони свързани с интернет устройства. В допълнение, той се възползва от CVE-2023-33426, критична уязвимост с максимален резултат от 10, която беше коригирана миналата година в Apache RocketMQ, платформа за съобщения и стрийминг, широко използвана в Linux системи.
Съдържание
Зловреден софтуер Perfctl е снабден с широк набор от злонамерени способности
Perfctl получава името си от злонамерен компонент, който тайно копае криптовалута. Разработчиците, чиято самоличност остава неизвестна, комбинираха името на инструмента за наблюдение на производителността на Linux „perf“ с „ctl“, често срещано съкращение в помощните програми на командния ред. Забележителна характеристика на Perfctl е използването на имена на процеси и файлове, които много наподобяват тези, които обикновено се срещат в среди на Linux, което му позволява да избегне откриването от засегнатите потребители.
За да прикрие допълнително присъствието си, Perfctl използва различни стелт тактики. Сред тях е инсталирането на много компоненти като руткитове, специфична категория зловреден софтуер, предназначен да се скрие от операционната система и административните инструменти. Допълнителните стратегии за избягване включват:
- Спиране на лесно откриваеми дейности при влизане на нови потребители
- Използване на Unix сокет през TOR за външна комуникация
- Изтриване на неговия инсталационен двоичен файл след изпълнение и последващо изпълнение като фонова услуга
- Манипулиране на процеса на Linux pcap_loop с помощта на техника, известна като закачане, за да се предотврати записването на злонамерен трафик на административни инструменти
- Потискане на съобщения за грешки, за да се избегнат видими предупреждения по време на изпълнение.
Perfctl е проектиран за постоянство, което му позволява да остане на заразени машини дори след рестартиране или опити за елиминиране на основни компоненти. Той постига това чрез техники като модифициране на скрипта ~/.profile, който инициализира средата по време на влизане на потребителя, позволявайки на злонамерения софтуер да се зареди преди законните сървърни процеси. Той също така се копира на множество дискови места от паметта. Закачането на pcap_loop допълнително подобрява устойчивостта, като позволява опасните дейности да продължат дори след като първичните полезни товари са открити и премахнати.
В допълнение към използването на системни ресурси за копаене на криптовалута, Perfctl трансформира заразената машина в генериращ печалба прокси, позволявайки на плащащите клиенти да препредават своя интернет трафик. Изследователите на киберсигурността също отбелязват, че зловреден софтуер функционира като задна врата за инсталиране на други фамилии зловреден софтуер.
Поток от атаки на Perfctl Malware инфекция
След като се възползва от уязвимост или неправилна конфигурация, експлойт кодът изтегля основния полезен товар от компрометиран сървър, който е превърнат в анонимен канал за разпространение на зловреден софтуер. В изследваната атака полезният товар е наречен httpd. При изпълнение файлът се репликира от паметта на ново място в директорията /temp, изпълнява копираната версия, прекратява оригиналния процес и изтрива изтегления двоичен файл.
След като бъде преместен в директорията /tmp, файлът се изпълнява под различно име, което имитира известен процес на Linux, конкретно наречен sh в този случай. Впоследствие той установява локален процес за командване и управление (C2). Той се стреми да получи привилегии на основната система чрез използване на CVE-2021-4043, уязвимост при ескалация на привилегии, която беше коригирана през 2021 г. в Gpac, популярна мултимедийна рамка с отворен код.
След това зловредният софтуер се копира от паметта на няколко други места на диска, като отново използва имена, които приличат на рутинни системни файлове. Той също така внедрява руткит заедно с набор от често използвани помощни програми за Linux, които са променени, за да функционират като руткитове, заедно с компонента за копаене. В някои случаи злонамереният софтуер инсталира софтуер за „прихващане на прокси“, което се отнася до скритото маршрутизиране на трафик през заразената машина, прикривайки истинския произход на данните.
Като част от своите C2 операции, зловредният софтуер отваря Unix сокет, създава две директории в директорията /tmp и съхранява оперативни данни там. Тези данни включват събития на хоста, местоположенията на неговите копия, имена на процеси, регистрационни файлове за комуникация, токени и допълнителна информация за регистрационни файлове. Освен това, той използва променливи на средата, за да съхранява данни, които влияят на неговото изпълнение и поведение.
Всички двоични файлове са опаковани, оголени и криптирани, което демонстрира солиден ангажимент за избягване на мерките за сигурност и усложняване на усилията за обратно инженерство. Злонамереният софтуер използва усъвършенствани тактики за избягване, като например спиране на дейностите си, когато открие нов потребител в btmp или utmp файловете и прекратяване на всеки конкурентен зловреден софтуер, за да поддържа господство над заразената система.
Perfctl излага на риск десетки хиляди устройства
Чрез анализиране на данни за броя на Linux сървърите, свързани към интернет в различни услуги и приложения, изследователите изчисляват, че хиляди машини са заразени с Perfctl. Техните открития показват, че наборът от уязвими машини – тези, които все още не са приложили корекцията за CVE-2023-33426 или имат неправилни конфигурации – възлиза на милиони. Изследователите обаче все още не са оценили общото количество криптовалута, генерирано от вредните копачи.
За да проверят дали устройството им е било насочено или заразено от Perfctl, потребителите трябва да потърсят идентифицираните индикатори за компрометиране. Освен това те трябва да бъдат бдителни за необичайни пикове в използването на процесора или неочаквано забавяне на системата, особено по време на периоди на неактивност.
