Rabattilbud med flere licenser
Trusseldatabase Malware Perfctl Malware

Perfctl Malware

Med Mezo i Malware
Oversæt til:
Dansk

En stamme af truende software har inficeret tusindvis af Linux-baserede systemer. Den skiller sig ud for sin snigende tilgang, den omfattende række af fejlkonfigurationer, den kan udnytte, og den brede vifte af skadelige handlinger, den kan udføre.

Denne trussel blev først opdaget i 2021 og udnytter over 20.000 almindeligt fundne fejlkonfigurationer til at infiltrere systemer, hvilket udgør en risiko for millioner af internetforbundne enheder. Derudover drager den fordel af CVE-2023-33426, en kritisk sårbarhed med en maksimal sværhedsgrad på 10, som blev rettet sidste år i Apache RocketMQ, en meddelelses- og streamingplatform, der er meget udbredt på Linux-systemer.

Perfctl-malwaren er udstyret med en lang række ondsindede egenskaber

Perfctl får sit navn fra en ondsindet komponent, der hemmeligt miner kryptovaluta. Udviklerne, hvis identiteter forbliver ukendte, kombinerede navnet på Linux-ydeevneovervågningsværktøjet 'perf' med 'ctl', en almindelig forkortelse i kommandolinjeværktøjer. Et bemærkelsesværdigt træk ved Perfctl er dets brug af proces- og filnavne, der ligner dem, der typisk findes i Linux-miljøer, hvilket gør det muligt at undgå registrering af berørte brugere.

For yderligere at skjule sin tilstedeværelse bruger Perfctl forskellige stealth-taktikker. Blandt disse er installationen af mange komponenter som rootkits, en specifik kategori af malware designet til at skjule fra operativsystemet og administrative værktøjer. Yderligere unddragelsesstrategier omfatter:

  • Stop let opdagelige aktiviteter ved nye brugerlogin
  • Brug af et Unix-stik over TOR til ekstern kommunikation
  • Sletter dens binære installation efter udførelse og kører efterfølgende som en baggrundstjeneste
  • Manipulering af Linux-processen pcap_loop ved hjælp af en teknik kendt som hooking for at forhindre administrative værktøjer i at optage ondsindet trafik
  • Undertrykkelse af meddelelsesfejl for at undgå synlige advarsler under udførelsen.

Perfctl er konstrueret til persistens, hvilket gør det muligt at forblive på inficerede maskiner selv efter genstart eller forsøg på at fjerne kernekomponenter. Den opnår dette gennem teknikker som f.eks. at ændre ~/.profile scriptet, som initialiserer miljøet under brugerlogin, hvilket gør det muligt for malware at indlæse før legitime serverprocesser. Den kopierer også sig selv til flere diskplaceringer fra hukommelsen. Tilslutningen af pcap_loop forbedrer vedholdenheden yderligere ved at tillade, at usikre aktiviteter fortsætter, selv efter primære nyttelaster er blevet opdaget og fjernet.

Ud over at bruge systemressourcer til at udvinde kryptovaluta, transformerer Perfctl den inficerede maskine til en profit-genererende proxy, der giver betalende kunder mulighed for at videresende deres internettrafik. Cybersikkerhedsforskere har også bemærket, at malwaren fungerer som en bagdør til installation af andre malware-familier.

Angrebsflow af Perfctl Malware-infektionen

Efter at have udnyttet en sårbarhed eller fejlkonfiguration, downloader udnyttelseskoden den primære nyttelast fra en kompromitteret server, som er blevet omdannet til en anonym distributionskanal for malwaren. I det undersøgte angreb blev nyttelasten navngivet httpd. Ved udførelse replikerer filen sig selv fra hukommelsen til en ny placering i mappen /temp, kører den kopierede version, afslutter den originale proces og sletter den downloadede binære.

Når filen er flyttet til /tmp-mappen, køres den under et andet navn, der efterligner en kendt Linux-proces, specifikt navngivet sh i dette tilfælde. Efterfølgende etablerer den en lokal Command-and-Control (C2) proces. Den søger at opnå rodsystemrettigheder ved at udnytte CVE-2021-4043, en sårbarhed med eskalering af privilegier, der blev rettet i 2021 i Gpac, en populær open source multimedieramme.

Malwaren kopierer derefter sig selv fra hukommelsen til flere andre diskplaceringer, igen ved at bruge navne, der ligner rutinemæssige systemfiler. Det implementerer også et rootkit sammen med en række almindeligt anvendte Linux-værktøjer, der er blevet ændret til at fungere som rootkits sammen med minekomponenten. I nogle tilfælde installerer malwaren software til "proxy-jacking", som refererer til den skjulte routing af trafik gennem den inficerede maskine, der skjuler den sande oprindelse af dataene.

Som en del af dens C2-operationer åbner malwaren en Unix-socket, opretter to mapper i /tmp-mappen og gemmer driftsdata der. Disse data inkluderer værtshændelser, placeringen af dens kopier, procesnavne, kommunikationslogfiler, tokens og yderligere logoplysninger. Ydermere bruger den miljøvariabler til at gemme data, der påvirker dets udførelse og adfærd.

Alle binære filer pakkes, strippes og krypteres, hvilket viser en solid forpligtelse til at omgå sikkerhedsforanstaltninger og komplicere reverse engineering-indsatser. Malwaren anvender avancerede undvigelsestaktikker, såsom at sætte dens aktiviteter på pause, når den opdager en ny bruger i btmp- eller utmp-filerne og afslutte enhver konkurrerende malware for at bevare dominansen over det inficerede system.

Perfctl sætter titusindvis af enheder i fare

Ved at analysere data om antallet af Linux-servere, der er forbundet til internettet på tværs af forskellige tjenester og applikationer, vurderer forskere, at tusindvis af maskiner er inficeret med Perfctl. Deres resultater indikerer, at puljen af sårbare maskiner - dem, der endnu ikke har anvendt patchen til CVE-2023-33426 eller har fejlkonfigurationer - beløber sig til millioner. Forskerne har dog endnu ikke vurderet den samlede mængde kryptovaluta genereret af de sårende minearbejdere.

For at kontrollere, om deres enhed er blevet målrettet eller inficeret af Perfctl, bør brugere kigge efter de identificerede indikatorer for kompromis. Derudover bør de være på vagt over for usædvanlige stigninger i CPU-brug eller uventede systemafbrydelser, især i inaktive perioder.

Trending

Mest sete

Indlæser...