Perfectl Malware
Ένα είδος απειλητικού λογισμικού έχει μολύνει χιλιάδες συστήματα που βασίζονται σε Linux. Ξεχωρίζει για την κρυφή προσέγγισή του, το εκτεταμένο φάσμα εσφαλμένων διαμορφώσεων που μπορεί να εκμεταλλευτεί και το ευρύ φάσμα επιβλαβών ενεργειών που μπορεί να πραγματοποιήσει.
Εντοπίστηκε για πρώτη φορά το 2021, αυτή η απειλή αξιοποιεί περισσότερες από 20.000 κοινές εσφαλμένες διαμορφώσεις για διείσδυση σε συστήματα, θέτοντας σε κίνδυνο εκατομμύρια συσκευές συνδεδεμένες στο Διαδίκτυο. Επιπλέον, εκμεταλλεύεται το CVE-2023-33426, μια κρίσιμη ευπάθεια με μέγιστη βαθμολογία σοβαρότητας 10 που διορθώθηκε πέρυσι στο Apache RocketMQ, μια πλατφόρμα ανταλλαγής μηνυμάτων και ροής που χρησιμοποιείται ευρέως σε συστήματα Linux.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό Perfctl είναι εξοπλισμένο με μια τεράστια γκάμα κακόβουλων δυνατοτήτων
Το Perfctl αντλεί το όνομά του από ένα κακόβουλο στοιχείο που εξορύσσει κρυφά κρυπτονομίσματα. Οι προγραμματιστές, των οποίων οι ταυτότητες παραμένουν άγνωστες, συνδύασαν το όνομα του εργαλείου παρακολούθησης απόδοσης Linux «perf» με το «ctl», μια κοινή συντομογραφία στα βοηθητικά προγράμματα της γραμμής εντολών. Ένα αξιοσημείωτο χαρακτηριστικό του Perfctl είναι η χρήση ονομάτων διεργασιών και αρχείων που μοιάζουν πολύ με αυτά που βρίσκονται συνήθως σε περιβάλλοντα Linux, επιτρέποντάς του να αποφεύγει τον εντοπισμό από τους επηρεαζόμενους χρήστες.
Για να κρύψει περαιτέρω την παρουσία του, το Perfctl χρησιμοποιεί διάφορες τακτικές μυστικότητας. Μεταξύ αυτών είναι η εγκατάσταση πολλών στοιχείων ως rootkits, μια συγκεκριμένη κατηγορία κακόβουλου λογισμικού που έχει σχεδιαστεί για να κρύβεται από το λειτουργικό σύστημα και τα εργαλεία διαχείρισης. Οι πρόσθετες στρατηγικές αποφυγής περιλαμβάνουν:
- Διακοπή εύκολα ανιχνεύσιμων δραστηριοτήτων κατά τη σύνδεση νέων χρηστών
- Χρησιμοποιώντας μια υποδοχή Unix μέσω TOR για εξωτερική επικοινωνία
- Διαγραφή δυαδικού αρχείου εγκατάστασής του μετά την εκτέλεση και στη συνέχεια εκτέλεση ως υπηρεσία παρασκηνίου
- Χειρισμός της διαδικασίας Linux pcap_loop χρησιμοποιώντας μια τεχνική γνωστή ως hooking για την αποτροπή εργαλείων διαχείρισης από την εγγραφή κακόβουλης κυκλοφορίας
- Καταστολή σφαλμάτων μηνυμάτων για αποφυγή ορατών ειδοποιήσεων κατά την εκτέλεση.
Το Perfctl έχει σχεδιαστεί για ανθεκτικότητα, επιτρέποντάς του να παραμένει σε μολυσμένα μηχανήματα ακόμα και μετά από επανεκκινήσεις ή προσπάθειες εξάλειψης βασικών στοιχείων. Αυτό το επιτυγχάνει μέσω τεχνικών όπως η τροποποίηση του σεναρίου ~/.profile, το οποίο προετοιμάζει το περιβάλλον κατά τη σύνδεση του χρήστη, επιτρέποντας στο κακόβουλο λογισμικό να φορτώσει πριν από τις νόμιμες διαδικασίες διακομιστή. Επίσης, αντιγράφει τον εαυτό του σε πολλές θέσεις δίσκου από τη μνήμη. Η σύνδεση του pcap_loop ενισχύει περαιτέρω την επιμονή επιτρέποντας τη συνέχιση των μη ασφαλών δραστηριοτήτων ακόμη και μετά τον εντοπισμό και την αφαίρεση των κύριων ωφέλιμων φορτίων.
Εκτός από τη χρήση πόρων συστήματος για την εξόρυξη κρυπτονομισμάτων, το Perfctl μετατρέπει το μολυσμένο μηχάνημα σε διακομιστή μεσολάβησης που δημιουργεί κέρδη, επιτρέποντας στους πελάτες που πληρώνουν να αναμεταδώσουν την κυκλοφορία τους στο Διαδίκτυο. Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν επίσης σημειώσει ότι το κακόβουλο λογισμικό λειτουργεί ως κερκόπορτα για την εγκατάσταση άλλων οικογενειών κακόβουλου λογισμικού.
Ροή επίθεσης της μόλυνσης από κακόβουλο λογισμικό Perfctl
Αφού εκμεταλλευτεί μια ευπάθεια ή εσφαλμένη διαμόρφωση, ο κώδικας εκμετάλλευσης κατεβάζει το κύριο ωφέλιμο φορτίο από έναν παραβιασμένο διακομιστή, ο οποίος έχει μετατραπεί σε ένα ανώνυμο κανάλι διανομής για το κακόβουλο λογισμικό. Στην εξεταζόμενη επίθεση, το ωφέλιμο φορτίο ονομάστηκε httpd. Κατά την εκτέλεση, το αρχείο επαναλαμβάνεται από τη μνήμη σε μια νέα θέση στον κατάλογο /temp, εκτελεί την αντιγραμμένη έκδοση, τερματίζει την αρχική διαδικασία και διαγράφει το δυαδικό αρχείο που έχει ληφθεί.
Μόλις μεταφερθεί στον κατάλογο /tmp, το αρχείο εκτελείται με διαφορετικό όνομα που μιμείται μια γνωστή διεργασία Linux, που ονομάζεται συγκεκριμένα sh σε αυτήν την περίπτωση. Στη συνέχεια, καθιερώνει μια τοπική διαδικασία Command-and-Control (C2). Επιδιώκει να αποκτήσει προνόμια ριζικού συστήματος αξιοποιώντας το CVE-2021-4043, μια ευπάθεια κλιμάκωσης προνομίων που διορθώθηκε το 2021 στο Gpac, ένα δημοφιλές πλαίσιο πολυμέσων ανοιχτού κώδικα.
Στη συνέχεια, το κακόβουλο λογισμικό αντιγράφεται από τη μνήμη σε πολλές άλλες θέσεις δίσκου, χρησιμοποιώντας και πάλι ονόματα που μοιάζουν με αρχεία ρουτίνας συστήματος. Αναπτύσσει επίσης ένα rootkit μαζί με μια σουίτα από κοινά χρησιμοποιούμενα βοηθητικά προγράμματα Linux που έχουν τροποποιηθεί ώστε να λειτουργούν ως rootkit, μαζί με το στοιχείο εξόρυξης. Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό εγκαθιστά λογισμικό για "proxy-jacking", το οποίο αναφέρεται στην κρυφή δρομολόγηση της κυκλοφορίας μέσω του μολυσμένου μηχανήματος, αποκρύπτοντας την πραγματική προέλευση των δεδομένων.
Ως μέρος των λειτουργιών του στο C2, το κακόβουλο λογισμικό ανοίγει μια υποδοχή Unix, δημιουργεί δύο καταλόγους στον κατάλογο /tmp και αποθηκεύει λειτουργικά δεδομένα εκεί. Αυτά τα δεδομένα περιλαμβάνουν συμβάντα κεντρικού υπολογιστή, τις τοποθεσίες των αντιγράφων του, ονόματα διεργασιών, αρχεία καταγραφής επικοινωνίας, διακριτικά και πρόσθετες πληροφορίες καταγραφής. Επιπλέον, χρησιμοποιεί μεταβλητές περιβάλλοντος για την αποθήκευση δεδομένων που επηρεάζουν την εκτέλεση και τη συμπεριφορά του.
Όλα τα δυαδικά αρχεία είναι συσκευασμένα, απογυμνωμένα και κρυπτογραφημένα, αποδεικνύοντας μια σταθερή δέσμευση για αποφυγή μέτρων ασφαλείας και περιπλέκοντας τις προσπάθειες αντίστροφης μηχανικής. Το κακόβουλο λογισμικό χρησιμοποιεί προηγμένες τακτικές αποφυγής, όπως παύση των δραστηριοτήτων του όταν εντοπίζει έναν νέο χρήστη στα αρχεία btmp ή utmp και τερματίζει οποιοδήποτε ανταγωνιστικό κακόβουλο λογισμικό για να διατηρήσει την κυριαρχία του στο μολυσμένο σύστημα.
Το Perfctl θέτει σε κίνδυνο δεκάδες χιλιάδες συσκευές
Αναλύοντας δεδομένα σχετικά με τον αριθμό των διακομιστών Linux που είναι συνδεδεμένοι στο Διαδίκτυο σε διάφορες υπηρεσίες και εφαρμογές, οι ερευνητές εκτιμούν ότι χιλιάδες μηχανήματα έχουν μολυνθεί με Perfctl. Τα ευρήματά τους υποδεικνύουν ότι το σύνολο των ευάλωτων μηχανημάτων -αυτών που δεν έχουν ακόμη εφαρμόσει την ενημερωμένη έκδοση κώδικα για το CVE-2023-33426 ή έχουν εσφαλμένες διαμορφώσεις- ανέρχεται σε εκατομμύρια. Ωστόσο, οι ερευνητές δεν έχουν ακόμη αξιολογήσει τη συνολική ποσότητα κρυπτονομισμάτων που δημιουργείται από τους βλαβερούς ανθρακωρύχους.
Για να ελέγξουν εάν η συσκευή τους έχει στοχοποιηθεί ή έχει μολυνθεί από το Perfctl, οι χρήστες θα πρέπει να αναζητήσουν τους προσδιορισμένους δείκτες συμβιβασμού. Επιπλέον, θα πρέπει να είναι προσεκτικοί για ασυνήθιστες αιχμές στη χρήση της CPU ή απροσδόκητες επιβραδύνσεις του συστήματος, ειδικά κατά τις περιόδους αδράνειας.
