Perfctl pahavara
Ohtliku tarkvara tüvi on nakatanud tuhandeid Linuxi-põhiseid süsteeme. See paistab silma oma vargse lähenemise, paljude väärkonfiguratsioonide, mida see võib ära kasutada, ja paljude kahjulike toimingute poolest, mida see võib teha.
See oht, mis tuvastati esmakordselt 2021. aastal, kasutab süsteemidesse imbumiseks üle 20 000 sageli leitud vale konfiguratsiooni, mis ohustab miljoneid Interneti-ühendusega seadmeid. Lisaks kasutab see ära CVE-2023-33426, kriitilise haavatavuse, mille maksimaalne raskusaste on 10, mis parandati eelmisel aastal Linuxi süsteemides laialdaselt kasutatavas sõnumside- ja voogedastusplatvormis Apache RocketMQ.
Sisukord
Perfctl pahavara on varustatud suure hulga pahatahtlike võimalustega
Perfctl on oma nime saanud pahatahtliku komponendi järgi, mis kaevandab varjatult krüptovaluutat. Arendajad, kelle identiteet jääb teadmata, ühendasid Linuxi jõudluse jälgimise tööriista nime "perf" sõnaga "ctl", mis on käsurea utiliitides levinud lühend. Perfctli märkimisväärne omadus on protsesside ja failinimede kasutamine, mis sarnanevad tavaliselt Linuxi keskkondades leiduvatele nimedele, võimaldades sellel mõjutatud kasutajate tuvastamisest kõrvale hoida.
Oma kohaloleku edasiseks varjamiseks kasutab Perfctl erinevaid varjamistaktikaid. Nende hulgas on paljude komponentide installimine juurkomplektidena, mis on teatud tüüpi pahavara, mis on loodud operatsioonisüsteemi ja haldustööriistade eest peitu pugema. Täiendavad kõrvalehoidmisstrateegiad hõlmavad järgmist:
- Kergesti tuvastatavate tegevuste peatamine uute kasutajate sisselogimisel
- Unixi pesa kasutamine TOR-i kaudu välise suhtluse jaoks
- Selle installibinaarfaili kustutamine pärast käivitamist ja seejärel taustteenusena töötamine
- Linuxi protsessi pcap_loop manipuleerimine, kasutades tehnikat, mida tuntakse haakumisena, et takistada haldustööriistu pahatahtlikku liiklust salvestamast
- Sõnumitõrgete summutamine, et vältida käivitamise ajal nähtavaid hoiatusi.
Perfctl on loodud püsima, võimaldades sellel jääda nakatunud masinatesse ka pärast taaskäivitamist või põhikomponentide eemaldamise katseid. See saavutatakse selliste tehnikate abil nagu ~/.profile skripti muutmine, mis initsialiseerib keskkonna kasutaja sisselogimise ajal, võimaldades pahavara laadida enne seaduslikke serveriprotsesse. Samuti kopeerib see end mälust mitmesse ketta asukohta. Programmi pcap_loop haakimine suurendab veelgi püsivust, võimaldades ebaturvaliste tegevuste jätkumist isegi pärast esmaste kasulike koormuste tuvastamist ja eemaldamist.
Lisaks süsteemiressursside kasutamisele krüptovaluuta kaevandamiseks muudab Perfctl nakatunud masina kasumit teenivaks puhverserveriks, võimaldades maksvatel klientidel oma Interneti-liiklust edastada. Küberjulgeoleku teadlased on ka märkinud, et pahavara toimib tagauksena teiste pahavaraperekondade installimiseks.
Perfctl pahavarainfektsiooni ründevoog
Pärast haavatavuse või vale konfiguratsiooni ärakasutamist laadib ärakasutuskood alla ohustatud serverist esmase kasuliku koormuse, mis on muudetud pahavara anonüümseks levikanaliks. Uuritud ründes kandis lasti nimi httpd. Täitmisel kopeerib fail end mälust uude asukohta kataloogis /temp, käivitab kopeeritud versiooni, lõpetab algse protsessi ja kustutab allalaaditud binaarfaili.
Pärast kataloogi /tmp ümberpaigutamist käivitatakse fail erineva nime all, mis jäljendab tuntud Linuxi protsessi, antud juhul konkreetselt nimega sh. Seejärel loob see kohaliku käsu- ja juhtimisprotsessi (C2). Selle eesmärk on saada juursüsteemi õigusi, kasutades ära CVE-2021-4043, õiguste eskalatsiooni haavatavust, mis paigati 2021. aastal populaarses avatud lähtekoodiga multimeediumiraamistikus Gpac.
Seejärel kopeerib pahavara end mälust mitmesse teise ketta asukohta, kasutades taas kord tavalisi süsteemifaile meenutavaid nimesid. Samuti juurutab see juurkomplekti koos tavaliselt kasutatavate Linuxi utiliitide komplektiga, mida on muudetud nii, et need toimiksid juurkomplektidena, koos kaevandamiskomponendiga. Mõnel juhul installib pahavara tarkvara "puhverserveri sissemurdmiseks", mis viitab liikluse varjatud suunamisele läbi nakatunud masina, varjates andmete tegelikku päritolu.
Osana oma C2 operatsioonidest avab pahavara Unixi pesa, loob /tmp kataloogis kaks kataloogi ja salvestab sinna tööandmed. Need andmed hõlmavad hostisündmusi, selle koopiate asukohti, protsesside nimesid, sideloge, märke ja täiendavat logiteavet. Lisaks kasutab see keskkonnamuutujaid andmete salvestamiseks, mis mõjutavad selle täitmist ja käitumist.
Kõik binaarfailid on pakitud, eemaldatud ja krüptitud, mis näitab kindlat pühendumust turvameetmetest kõrvalehoidmisele ja raskendab pöördprojekteerimise jõupingutusi. Pahavara kasutab täiustatud kõrvalehoidmistaktikat, näiteks peatab oma tegevuse, kui tuvastab btmp- või utmp-failides uue kasutaja, ja lõpetab konkureeriva pahavara, et säilitada domineerimine nakatunud süsteemi üle.
Perfctl seab ohtu kümned tuhanded seadmed
Analüüsides andmeid erinevate teenuste ja rakenduste kaudu Internetiga ühendatud Linuxi serverite arvu kohta, arvavad teadlased, et tuhanded masinad on nakatunud Perfctliga. Nende leiud näitavad, et haavatavate masinate kogum – need, mis pole veel CVE-2023-33426 plaastrit rakendanud või millel on valesti konfigureeritud – ulatub miljonitesse. Teadlased pole aga veel hinnanud haiget tekitavate kaevurite tekitatud krüptovaluuta kogusummat.
Kontrollimaks, kas Perfctl on nende seadet sihikule võtnud või nakatunud, peaksid kasutajad otsima tuvastatud ohunäitajaid. Lisaks peaksid nad olema valvsad protsessori kasutuse ebatavaliste hüpete või süsteemi ootamatute aeglustumise suhtes, eriti jõudeoleku perioodidel.
