Programari maliciós Perfctl
Una varietat de programari amenaçador ha infectat milers de sistemes basats en Linux. Destaca pel seu enfocament sigilós, l'ampli ventall de configuracions incorrectes que pot explotar i l'ampli ventall d'accions perjudicials que pot dur a terme.
Detectada per primera vegada el 2021, aquesta amenaça aprofita més de 20.000 configuracions errònies que es troben habitualment per infiltrar-se en els sistemes, cosa que suposa un risc per a milions de dispositius connectats a Internet. A més, aprofita CVE-2023-33426, una vulnerabilitat crítica amb una puntuació de gravetat màxima de 10 que es va aplicar l'any passat a Apache RocketMQ, una plataforma de missatgeria i streaming àmpliament utilitzada en sistemes Linux.
Taula de continguts
El programari maliciós Perfctl està equipat amb una àmplia gamma de capacitats malèvoles
Perfctl deriva el seu nom d'un component maliciós que explota de forma encoberta criptomoneda. Els desenvolupadors, les identitats dels quals segueixen sent desconegudes, van combinar el nom de l'eina de control del rendiment de Linux "perf" amb "ctl", una abreviatura comuna a les utilitats de la línia d'ordres. Una característica notable de Perfctl és l'ús de noms de processos i fitxers que s'assemblen molt als que es troben habitualment en entorns Linux, cosa que li permet evadir la detecció dels usuaris afectats.
Per ocultar encara més la seva presència, Perfctl utilitza diverses tàctiques de sigil. Entre aquests hi ha la instal·lació de molts components com a rootkits, una categoria específica de programari maliciós dissenyat per amagar-se del sistema operatiu i d'eines administratives. Les estratègies d'evasió addicionals inclouen:
- Aturant activitats fàcilment detectables quan inicien sessió d'usuaris nous
- Utilitzant un sòcol Unix sobre TOR per a la comunicació externa
- Suprimint el seu binari d'instal·lació després de l'execució i, posteriorment, s'executa com a servei en segon pla
- Manipulació del procés Linux pcap_loop mitjançant una tècnica coneguda com a enganxament per evitar que les eines administratives enregistrin trànsit maliciós
- Suprimir errors de missatgeria per evitar alertes visibles durant l'execució.
Perfctl està dissenyat per a la persistència, cosa que li permet romandre a les màquines infectades fins i tot després de reiniciar o intentar eliminar components bàsics. Això ho aconsegueix mitjançant tècniques com la modificació de l'script ~/.profile, que inicialitza l'entorn durant l'inici de sessió de l'usuari, permetent que el programari maliciós es carregui abans dels processos legítims del servidor. També es copia a diverses ubicacions de disc de la memòria. L'enganxament de pcap_loop millora encara més la persistència al permetre que les activitats insegures continuïn fins i tot després que s'hagin detectat i eliminat les càrregues útils primàries.
A més d'utilitzar els recursos del sistema per explotar criptomoneda, Perfctl transforma la màquina infectada en un servidor intermediari que genera beneficis, permetent als clients que pagan transmetre el seu trànsit a Internet. Els investigadors de ciberseguretat també han observat que el programari maliciós funciona com a porta posterior per instal·lar altres famílies de programari maliciós.
Flux d’atac de la infecció de programari maliciós Perfctl
Després d'aprofitar una vulnerabilitat o una configuració incorrecta, el codi d'explotació descarrega la càrrega útil principal d'un servidor compromès, que s'ha convertit en un canal de distribució anònim per al programari maliciós. A l'atac examinat, la càrrega útil es va anomenar httpd. En executar-se, el fitxer es replica des de la memòria a una nova ubicació al directori /temp, executa la versió copiada, finalitza el procés original i elimina el binari descarregat.
Un cop traslladat al directori /tmp, el fitxer s'executa amb un nom diferent que imita un procés Linux conegut, específicament anomenat sh en aquest cas. Posteriorment, estableix un procés local de comandament i control (C2). Pretén obtenir privilegis del sistema arrel mitjançant l'explotació de CVE-2021-4043, una vulnerabilitat d'escalada de privilegis que es va aplicar el 2021 a Gpac, un marc multimèdia de codi obert popular.
Aleshores, el programari maliciós es copia de la memòria a altres ubicacions de disc, una vegada més utilitzant noms que s'assemblen als fitxers rutinaris del sistema. També desplega un rootkit juntament amb un conjunt d'utilitats Linux d'ús habitual que s'han alterat per funcionar com a rootkits, juntament amb el component de mineria. En alguns casos, el programari maliciós instal·la programari per al "proxy-jacking", que fa referència a l'encaminament encobert del trànsit a través de la màquina infectada, ocultant l'origen real de les dades.
Com a part de les seves operacions C2, el programari maliciós obre un sòcol Unix, crea dos directoris dins del directori /tmp i hi emmagatzema dades operatives. Aquestes dades inclouen esdeveniments de l'amfitrió, les ubicacions de les seves còpies, noms de processos, registres de comunicació, testimonis i informació de registre addicional. A més, utilitza variables d'entorn per emmagatzemar dades que influeixen en la seva execució i comportament.
Tots els binaris estan empaquetats, despullats i xifrats, cosa que demostra un compromís sòlid per evadir les mesures de seguretat i complicar els esforços d'enginyeria inversa. El programari maliciós utilitza tàctiques d'evasió avançades, com ara aturar les seves activitats quan detecta un nou usuari als fitxers btmp o utmp i acabar amb qualsevol programari maliciós competidor per mantenir el domini sobre el sistema infectat.
Perfctl posa en risc desenes de milers de dispositius
Mitjançant l'anàlisi de dades sobre el nombre de servidors Linux connectats a Internet a través de diversos serveis i aplicacions, els investigadors estimen que milers de màquines estan infectades amb Perfctl. Les seves troballes indiquen que el conjunt de màquines vulnerables, les que encara no han aplicat el pegat per a CVE-2023-33426 o tenen configuracions incorrectes, ascendeix a milions. Tanmateix, els investigadors encara no han avaluat la quantitat total de criptomoneda generada pels miners perjudicials.
Per comprovar si el seu dispositiu ha estat objectiu o infectat per Perfctl, els usuaris haurien de buscar els indicadors de compromís identificats. A més, haurien d'estar atents a pics inusuals en l'ús de la CPU o alentiments inesperats del sistema, especialment durant els períodes d'inactivitat.
