Perfctl ম্যালওয়্যার
হুমকি সফ্টওয়্যারের একটি স্ট্রেন হাজার হাজার লিনাক্স-ভিত্তিক সিস্টেমকে সংক্রামিত করেছে। এটি তার গোপনীয় পদ্ধতির জন্য আলাদা, এটি ব্যবহার করতে পারে এমন ভুল কনফিগারেশনের বিস্তৃত পরিসর এবং এটি বহন করতে পারে এমন ক্ষতিকারক ক্রিয়াগুলির বিস্তৃত অ্যারের জন্য।
2021 সালে প্রথম শনাক্ত করা হয়েছিল, এই হুমকিটি 20,000 টিরও বেশি সাধারণভাবে পাওয়া ভুল কনফিগারেশনগুলিকে সিস্টেমে অনুপ্রবেশ করতে সাহায্য করে, যা লক্ষ লক্ষ ইন্টারনেট-সংযুক্ত ডিভাইসের জন্য ঝুঁকি তৈরি করে। অতিরিক্তভাবে, এটি CVE-2023-33426-এর সুবিধা গ্রহণ করে, 10-এর সর্বোচ্চ তীব্রতার স্কোর সহ একটি গুরুতর দুর্বলতা যা গত বছর Apache RocketMQ-তে প্যাচ করা হয়েছিল, একটি মেসেজিং এবং স্ট্রিমিং প্ল্যাটফর্ম যা লিনাক্স সিস্টেমে ব্যাপকভাবে ব্যবহৃত হয়।
সুচিপত্র
Perfctl ম্যালওয়্যারটি অসাধারন ক্ষমতার বিশাল অ্যারে দিয়ে সজ্জিত
Perfctl এর নামটি একটি দূষিত উপাদান থেকে এসেছে যা গোপনে ক্রিপ্টোকারেন্সি খনি। ডেভেলপাররা, যাদের পরিচয় অজানা, তারা লিনাক্স পারফরম্যান্স মনিটরিং টুল 'perf'-এর নাম 'ctl'-এর সাথে একত্রিত করেছে, যা কমান্ড-লাইন ইউটিলিটিগুলির একটি সাধারণ সংক্ষিপ্ত রূপ। Perfctl-এর একটি উল্লেখযোগ্য বৈশিষ্ট্য হল এটির প্রক্রিয়া এবং ফাইলের নামের ব্যবহার যা সাধারণত লিনাক্স পরিবেশে পাওয়া যায় এমনগুলির সাথে সাদৃশ্যপূর্ণ, যা এটি প্রভাবিত ব্যবহারকারীদের দ্বারা সনাক্তকরণ এড়াতে দেয়।
এর উপস্থিতি আরও গোপন করার জন্য, Perfctl বিভিন্ন স্টিলথ কৌশল নিযুক্ত করে। এর মধ্যে রুটকিট হিসাবে অনেকগুলি উপাদানের ইনস্টলেশন, অপারেটিং সিস্টেম এবং প্রশাসনিক সরঞ্জামগুলি থেকে লুকানোর জন্য ডিজাইন করা ম্যালওয়্যারের একটি নির্দিষ্ট বিভাগ। অতিরিক্ত ফাঁকি কৌশল অন্তর্ভুক্ত:
- নতুন ব্যবহারকারী লগইন করার সময় সহজেই সনাক্তযোগ্য কার্যকলাপ বন্ধ করা হচ্ছে
- বাহ্যিক যোগাযোগের জন্য TOR এর উপর একটি ইউনিক্স সকেট ব্যবহার করা
- কার্যকর করার পরে এটির ইনস্টলেশন বাইনারি মুছে ফেলা এবং পরবর্তীতে একটি ব্যাকগ্রাউন্ড পরিষেবা হিসাবে চলমান
- প্রশাসনিক সরঞ্জামগুলিকে দূষিত ট্র্যাফিক রেকর্ড করা থেকে আটকাতে হুকিং নামে পরিচিত একটি কৌশল ব্যবহার করে লিনাক্স প্রক্রিয়া pcap_loop ম্যানিপুলেট করা
- কার্যকর করার সময় দৃশ্যমান সতর্কতা এড়াতে mesg ত্রুটিগুলি দমন করা।
Perfctl অধ্যবসায়ের জন্য ইঞ্জিনিয়ার করা হয়েছে, এটিকে রিবুট করার পরেও বা মূল উপাদানগুলি বাদ দেওয়ার চেষ্টা করার পরেও সংক্রামিত মেশিনে থাকতে দেয়। এটি ~/.প্রোফাইল স্ক্রিপ্ট পরিবর্তন করার মতো কৌশলগুলির মাধ্যমে এটি অর্জন করে, যা ব্যবহারকারী লগইন করার সময় পরিবেশ শুরু করে, বৈধ সার্ভার প্রক্রিয়ার আগে ম্যালওয়্যারকে লোড করতে সক্ষম করে। এটি মেমরি থেকে একাধিক ডিস্ক অবস্থানে নিজেকে কপি করে। pcap_loop-এর হুকিং প্রাথমিক পে-লোডগুলি সনাক্ত ও সরানোর পরেও অনিরাপদ ক্রিয়াকলাপগুলি চালিয়ে যাওয়ার অনুমতি দিয়ে অধ্যবসায়কে আরও বাড়িয়ে তোলে।
ক্রিপ্টোকারেন্সি মাইন করার জন্য সিস্টেম রিসোর্স ব্যবহার করার পাশাপাশি, Perfctl সংক্রামিত মেশিনটিকে একটি লাভ-উৎপাদনকারী প্রক্সিতে রূপান্তরিত করে, যা অর্থপ্রদানকারী গ্রাহকদের তাদের ইন্টারনেট ট্রাফিক রিলে করতে দেয়। সাইবারসিকিউরিটি গবেষকরা আরও উল্লেখ করেছেন যে ম্যালওয়্যার অন্যান্য ম্যালওয়্যার পরিবারগুলি ইনস্টল করার জন্য একটি ব্যাকডোর হিসাবে কাজ করে।
Perfctl ম্যালওয়্যার সংক্রমণের আক্রমণ প্রবাহ
একটি দুর্বলতা বা ভুল কনফিগারেশনের সুবিধা নেওয়ার পরে, শোষণ কোড একটি আপস করা সার্ভার থেকে প্রাথমিক পেলোড ডাউনলোড করে, যা ম্যালওয়্যারের জন্য একটি বেনামী বিতরণ চ্যানেলে পরিণত হয়েছে৷ পরীক্ষিত আক্রমণে, পেলোডটির নাম দেওয়া হয়েছিল httpd। সঞ্চালনের পরে, ফাইলটি মেমরি থেকে /temp ডিরেক্টরিতে একটি নতুন অবস্থানে নিজেকে প্রতিলিপি করে, অনুলিপি করা সংস্করণ চালায়, মূল প্রক্রিয়াটি বন্ধ করে এবং ডাউনলোড করা বাইনারি মুছে দেয়।
একবার /tmp ডিরেক্টরিতে স্থানান্তরিত হলে, ফাইলটি একটি ভিন্ন নামে সঞ্চালিত হয় যা একটি পরিচিত Linux প্রক্রিয়ার অনুকরণ করে, বিশেষত এই ক্ষেত্রে sh নামে নামকরণ করা হয়। পরবর্তীকালে, এটি একটি স্থানীয় কমান্ড-এন্ড-কন্ট্রোল (C2) প্রক্রিয়া স্থাপন করে। এটি CVE-2021-4043 শোষণ করে রুট সিস্টেমের বিশেষাধিকার লাভ করতে চায়, একটি বিশেষাধিকার বৃদ্ধির দুর্বলতা যা 2021 সালে Gpac, একটি জনপ্রিয় ওপেন-সোর্স মাল্টিমিডিয়া ফ্রেমওয়ার্কের মধ্যে প্যাচ করা হয়েছিল।
ম্যালওয়্যারটি মেমরি থেকে অন্য ডিস্কের অবস্থানে অনুলিপি করে, আবার রুটিন সিস্টেম ফাইলের মতো নাম ব্যবহার করে। এটি সাধারণত ব্যবহৃত লিনাক্স ইউটিলিটিগুলির একটি স্যুটের সাথে একটি রুটকিটও স্থাপন করে যা রুটকিট হিসাবে কাজ করার জন্য পরিবর্তিত হয়েছে, খনির উপাদান সহ। কিছু ক্ষেত্রে, ম্যালওয়্যার "প্রক্সি-জ্যাকিং" এর জন্য সফ্টওয়্যার ইনস্টল করে, যা সংক্রামিত মেশিনের মাধ্যমে ট্র্যাফিকের গোপন রাউটিংকে বোঝায়, ডেটার আসল উত্সকে গোপন করে৷
এর C2 অপারেশনের অংশ হিসাবে, ম্যালওয়্যারটি একটি ইউনিক্স সকেট খোলে, /tmp ডিরেক্টরির মধ্যে দুটি ডিরেক্টরি তৈরি করে এবং সেখানে অপারেশনাল ডেটা সঞ্চয় করে। এই ডেটাতে হোস্ট ইভেন্ট, এর কপিগুলির অবস্থান, প্রক্রিয়ার নাম, যোগাযোগ লগ, টোকেন এবং অতিরিক্ত লগ তথ্য অন্তর্ভুক্ত রয়েছে। তদ্ব্যতীত, এটি ডেটা সঞ্চয় করার জন্য পরিবেশের ভেরিয়েবলগুলি ব্যবহার করে যা এর কার্য সম্পাদন এবং আচরণকে প্রভাবিত করে।
সমস্ত বাইনারি প্যাক করা, ছিনতাই করা এবং এনক্রিপ্ট করা, নিরাপত্তা ব্যবস্থা এড়ানো এবং বিপরীত প্রকৌশল প্রচেষ্টাকে জটিল করার জন্য একটি দৃঢ় প্রতিশ্রুতি প্রদর্শন করে। ম্যালওয়্যারটি উন্নত ফাঁকি দেওয়ার কৌশল ব্যবহার করে, যেমন btmp বা utmp ফাইলে নতুন ব্যবহারকারীকে শনাক্ত করার সময় এটির ক্রিয়াকলাপ থামিয়ে দেওয়া এবং সংক্রামিত সিস্টেমের উপর আধিপত্য বজায় রাখার জন্য কোনও প্রতিযোগী ম্যালওয়্যার বন্ধ করে দেওয়া।
Perfctl হাজার হাজার ডিভাইসকে ঝুঁকির মধ্যে রাখে
বিভিন্ন পরিষেবা এবং অ্যাপ্লিকেশন জুড়ে ইন্টারনেটের সাথে সংযুক্ত লিনাক্স সার্ভারের সংখ্যার ডেটা বিশ্লেষণ করে, গবেষকরা অনুমান করেছেন যে হাজার হাজার মেশিন Perfctl দ্বারা সংক্রামিত। তাদের অনুসন্ধানগুলি ইঙ্গিত করে যে দুর্বল মেশিনগুলির পুল - যেগুলি এখনও CVE-2023-33426 এর জন্য প্যাচ প্রয়োগ করেনি বা ভুল কনফিগারেশন রয়েছে - পরিমাণ লক্ষ লক্ষ। যাইহোক, গবেষকরা এখনও ক্ষতিকারক খনি শ্রমিকদের দ্বারা উত্পন্ন মোট ক্রিপ্টোকারেন্সি মূল্যায়ন করতে পারেননি।
তাদের ডিভাইসটি Perfctl দ্বারা লক্ষ্যবস্তু বা সংক্রমিত হয়েছে কিনা তা পরীক্ষা করার জন্য, ব্যবহারকারীদের বোঝাপড়ার চিহ্নিত সূচকগুলি সন্ধান করা উচিত। অতিরিক্তভাবে, সিপিইউ ব্যবহারে অস্বাভাবিক স্পাইক বা অপ্রত্যাশিত সিস্টেম মন্থরতার জন্য তাদের সতর্ক থাকা উচিত, বিশেষত নিষ্ক্রিয় সময়কালে।
