Perfctl Malware
Kmen ohrožujícího softwaru infikoval tisíce systémů založených na Linuxu. Vyniká svým nenápadným přístupem, širokou škálou chybných konfigurací, které dokáže využít, a širokou škálou škodlivých akcí, které může provést.
Tato hrozba, která byla poprvé zjištěna v roce 2021, využívá více než 20 000 běžně nalezených chybných konfigurací k infiltraci systémů, což představuje riziko pro miliony zařízení připojených k internetu. Kromě toho využívá CVE-2023-33426, kritickou chybu zabezpečení s maximálním skóre závažnosti 10, která byla loni opravena v Apache RocketMQ, platformě pro zasílání zpráv a streamování široce používanou na systémech Linux.
Obsah
Malware Perfctl je vybaven širokou řadou zlovolných schopností
Perfctl odvozuje svůj název od škodlivé komponenty, která skrytě těží kryptoměnu. Vývojáři, jejichž identita zůstává neznámá, zkombinovali název linuxového nástroje pro monitorování výkonu „perf“ s „ctl“, což je běžná zkratka v nástrojích příkazového řádku. Pozoruhodnou vlastností Perfctl je jeho použití názvů procesů a souborů, které se velmi podobají těm, které se obvykle vyskytují v prostředí Linuxu, což mu umožňuje vyhnout se detekci dotčenými uživateli.
K dalšímu utajení své přítomnosti Perfctl používá různé taktiky stealth. Mezi ně patří instalace mnoha komponent jako rootkity, což je specifická kategorie malwaru navržená tak, aby se skrývala před operačním systémem a administrativními nástroji. Mezi další únikové strategie patří:
- Zastavení snadno zjistitelných aktivit při přihlášení nového uživatele
- Využití Unixového soketu přes TOR pro externí komunikaci
- Smazání jeho instalačního binárního souboru po spuštění a následné spuštění jako služba na pozadí
- Manipulace s linuxovým procesem pcap_loop pomocí techniky známé jako hákování, aby se zabránilo administrativním nástrojům zaznamenávat škodlivý provoz
- Potlačení chyb zpráv, aby se zabránilo viditelným výstrahám během provádění.
Perfctl je navržen pro perzistenci, což mu umožňuje zůstat na infikovaných počítačích i po restartu nebo pokusu o odstranění základních komponent. Dosahuje toho pomocí technik, jako je úprava skriptu ~/.profile, který inicializuje prostředí během přihlašování uživatele, což umožňuje načtení malwaru před legitimními procesy serveru. Kopíruje se také z paměti na více diskových míst. Zapojení pcap_loop dále zvyšuje perzistenci tím, že umožňuje pokračovat v nebezpečných činnostech i poté, co byly detekovány a odstraněny primární užitečné zátěže.
Kromě využití systémových prostředků k těžbě kryptoměny Perfctl transformuje infikovaný stroj na proxy generující zisk, což platícím zákazníkům umožňuje přenášet jejich internetový provoz. Výzkumníci v oblasti kybernetické bezpečnosti také poznamenali, že malware funguje jako zadní vrátka pro instalaci dalších rodin malwaru.
Útokový tok malwarové infekce Perfctl
Poté, co využije zranitelnost nebo nesprávnou konfiguraci, exploit kód stáhne primární datovou část z kompromitovaného serveru, který se proměnil v anonymní distribuční kanál pro malware. Ve zkoumaném útoku byl náklad pojmenován httpd. Po spuštění se soubor replikuje z paměti do nového umístění v adresáři /temp, spustí zkopírovanou verzi, ukončí původní proces a smaže stažený binární soubor.
Po přemístění do adresáře /tmp se soubor spustí pod jiným názvem, který napodobuje známý proces Linuxu, v tomto případě konkrétně pojmenovaný sh. Následně zavede místní proces Command-and-Control (C2). Snaží se získat privilegia kořenového systému pomocí CVE-2021-4043, zranitelnosti eskalace privilegií, která byla opravena v roce 2021 v rámci Gpac, oblíbeného open-source multimediálního rámce.
Malware se poté zkopíruje z paměti na několik dalších míst na disku, opět s použitím názvů, které připomínají rutinní systémové soubory. Nasazuje také rootkit spolu se sadou běžně používaných linuxových nástrojů, které byly upraveny tak, aby fungovaly jako rootkity, spolu s těžební komponentou. V některých případech malware nainstaluje software pro „proxy-jacking“, který odkazuje na skryté směrování provozu přes infikovaný počítač a zakrývá skutečný původ dat.
V rámci svých operací C2 malware otevře soket Unix, vytvoří dva adresáře v adresáři /tmp a uloží tam provozní data. Tato data zahrnují události hostitele, umístění jeho kopií, názvy procesů, protokoly komunikace, tokeny a další informace protokolu. Kromě toho využívá proměnné prostředí k ukládání dat, které ovlivňují jeho provádění a chování.
Všechny binární soubory jsou zabaleny, odstraněny a zašifrovány, což prokazuje pevný závazek vyhýbat se bezpečnostním opatřením a komplikuje úsilí o reverzní inženýrství. Malware využívá pokročilé únikové taktiky, jako je pozastavení svých aktivit, když detekuje nového uživatele v souborech btmp nebo utmp, a ukončení jakéhokoli konkurenčního malwaru, aby si zachoval nadvládu nad infikovaným systémem.
Perfctl ohrožuje desítky tisíc zařízení
Analýzou dat o počtu linuxových serverů připojených k internetu napříč různými službami a aplikacemi výzkumníci odhadují, že Perfctl jsou infikovány tisíce počítačů. Jejich zjištění naznačují, že počet zranitelných počítačů – těch, které ještě neaplikovaly opravu pro CVE-2023-33426 nebo mají chybnou konfiguraci – dosahuje milionů. Vědci však dosud nezhodnotili celkové množství kryptoměny generované škodlivými těžaři.
Chcete-li zkontrolovat, zda jejich zařízení bylo cíleno nebo infikováno Perfctl, měli by uživatelé hledat identifikované indikátory kompromitace. Kromě toho by měli dávat pozor na neobvyklé skoky ve využití procesoru nebo neočekávané zpomalení systému, zejména během období nečinnosti.
