بدافزار Perfectl

گونه ای از نرم افزارهای تهدید کننده هزاران سیستم مبتنی بر لینوکس را آلوده کرده است. به دلیل رویکرد مخفیانه، طیف گسترده ای از پیکربندی های نادرست که می تواند از آن بهره برداری کند، و مجموعه وسیعی از اقدامات مضری که می تواند انجام دهد، متمایز است.

این تهدید که برای اولین بار در سال 2021 شناسایی شد، بیش از 20000 پیکربندی نادرست رایج را برای نفوذ به سیستم ها اعمال می کند و میلیون ها دستگاه متصل به اینترنت را به خطر می اندازد. علاوه بر این، از CVE-2023-33426 استفاده می کند، یک آسیب پذیری حیاتی با حداکثر امتیاز شدت 10 که سال گذشته در Apache RocketMQ، یک پلت فرم پیام رسانی و استریم که به طور گسترده در سیستم های لینوکس استفاده می شود، اصلاح شد.

بدافزار Perfctl به مجموعه وسیعی از قابلیت های بدخواه مجهز شده است

Perfctl نام خود را از یک مؤلفه مخرب گرفته است که به طور مخفیانه ارز دیجیتال را استخراج می کند. توسعه دهندگان، که هویت آنها ناشناخته باقی مانده است، نام ابزار نظارت بر عملکرد لینوکس "perf" را با "ctl" ترکیب کردند، که مخفف رایج در ابزارهای خط فرمان است. یکی از ویژگی‌های قابل توجه Perfctl استفاده از نام‌های فرآیند و فایل است که بسیار شبیه به آن‌هایی است که معمولاً در محیط‌های لینوکس یافت می‌شوند و به آن اجازه می‌دهند از شناسایی توسط کاربران آسیب‌دیده فرار کنند.

برای پنهان کردن بیشتر حضور خود، Perfctl از تاکتیک های مخفی کاری مختلفی استفاده می کند. از جمله نصب بسیاری از مؤلفه‌ها به عنوان روت‌کیت‌ها، دسته‌بندی خاصی از بدافزارها که برای مخفی شدن از سیستم عامل و ابزارهای مدیریتی طراحی شده‌اند. راهبردهای فرار اضافی عبارتند از:

• توقف فعالیت‌های قابل شناسایی به‌راحتی پس از ورود کاربران جدید
• استفاده از سوکت یونیکس روی TOR برای ارتباطات خارجی
• حذف باینری نصب آن پس از اجرا و متعاقبا اجرای آن به عنوان سرویس پس زمینه
• دستکاری فرآیند لینوکس pcap_loop با استفاده از تکنیکی به نام hooking برای جلوگیری از ضبط ترافیک مخرب توسط ابزارهای مدیریتی
• سرکوب خطاهای پیام برای جلوگیری از هشدارهای قابل مشاهده در هنگام اجرا.

Perfctl برای پایداری طراحی شده است و به آن اجازه می دهد حتی پس از راه اندازی مجدد یا تلاش برای حذف اجزای اصلی، روی دستگاه های آلوده باقی بماند. این امر از طریق تکنیک‌هایی مانند اصلاح اسکریپت ~/.profile، که محیط را در حین ورود کاربر مقداردهی می‌کند، به دست می‌آورد و بدافزار را قادر می‌سازد تا قبل از فرآیندهای سرور قانونی بارگیری شود. همچنین خود را در چندین مکان دیسک از حافظه کپی می کند. اتصال pcap_loop با اجازه دادن به فعالیت‌های ناامن حتی پس از شناسایی و حذف بارهای اولیه، پایداری را بیشتر می‌کند.

علاوه بر استفاده از منابع سیستم برای استخراج ارز دیجیتال، Perfctl دستگاه آلوده را به یک پروکسی سودآور تبدیل می‌کند و به مشتریان پولی اجازه می‌دهد تا ترافیک اینترنتی خود را انتقال دهند. محققان امنیت سایبری همچنین خاطرنشان کرده‌اند که این بدافزار به عنوان یک درب پشتی برای نصب خانواده‌های بدافزار دیگر عمل می‌کند.

جریان حمله عفونت بدافزار Perfctl

پس از استفاده از یک آسیب‌پذیری یا پیکربندی نادرست، کد بهره‌برداری بار اولیه را از یک سرور در معرض خطر دانلود می‌کند که به یک کانال توزیع ناشناس برای بدافزار تبدیل شده است. در حمله مورد بررسی، payload httpd نامگذاری شد. پس از اجرا، فایل خود را از حافظه به یک مکان جدید در دایرکتوری /temp تکرار می کند، نسخه کپی شده را اجرا می کند، فرآیند اصلی را خاتمه می دهد و باینری دانلود شده را حذف می کند.

پس از انتقال به دایرکتوری /tmp، فایل با نام دیگری اجرا می‌شود که یک فرآیند شناخته شده لینوکس را تقلید می‌کند، که در این مورد به طور خاص به نام sh نامیده می‌شود. متعاقباً، یک فرآیند فرماندهی و کنترل محلی (C2) را ایجاد می کند. به دنبال کسب امتیازات سیستم ریشه با بهره‌برداری از CVE-2021-4043، یک آسیب‌پذیری افزایش امتیاز است که در سال 2021 در Gpac، یک چارچوب چندرسانه‌ای منبع باز محبوب، وصله شد.

سپس این بدافزار خود را از حافظه به چندین مکان دیسک دیگر کپی می‌کند و یک بار دیگر از نام‌هایی استفاده می‌کند که شبیه فایل‌های معمول سیستم هستند. همچنین یک روت کیت را به همراه مجموعه‌ای از ابزارهای لینوکس که معمولاً مورد استفاده قرار می‌گیرند که برای عملکرد روت‌کیت‌ها تغییر یافته‌اند، همراه با مؤلفه ماینینگ مستقر می‌کند. در برخی موارد، بدافزار نرم‌افزاری را برای «جک پروکسی» نصب می‌کند که به مسیریابی مخفیانه ترافیک از طریق دستگاه آلوده اشاره دارد و منشا واقعی داده‌ها را پنهان می‌کند.

به عنوان بخشی از عملیات C2، این بدافزار یک سوکت یونیکس را باز می کند، دو دایرکتوری را در فهرست /tmp ایجاد می کند و داده های عملیاتی را در آنجا ذخیره می کند. این داده‌ها شامل رویدادهای میزبان، مکان‌های کپی‌های آن، نام‌های فرآیند، گزارش‌های ارتباطی، نشانه‌ها و اطلاعات گزارش اضافی است. علاوه بر این، از متغیرهای محیطی برای ذخیره داده هایی که بر اجرا و رفتار آن تأثیر می گذارد، استفاده می کند.

همه باینری‌ها بسته‌بندی، حذف و رمزگذاری شده‌اند، که نشان‌دهنده تعهد محکمی برای فرار از اقدامات امنیتی و پیچیده‌تر کردن تلاش‌های مهندسی معکوس است. این بدافزار از تاکتیک‌های فرار پیشرفته استفاده می‌کند، مانند توقف فعالیت‌های خود هنگام شناسایی کاربر جدید در فایل‌های btmp یا utmp و پایان دادن به هر بدافزار رقیب برای حفظ تسلط بر سیستم آلوده.

Perfctl ده ها هزار دستگاه را در معرض خطر قرار می دهد

با تجزیه و تحلیل داده‌های مربوط به تعداد سرورهای لینوکس متصل به اینترنت در سرویس‌ها و برنامه‌های مختلف، محققان تخمین می‌زنند که هزاران دستگاه به Perfctl آلوده شده‌اند. یافته‌های آن‌ها نشان می‌دهد که مجموعه ماشین‌های آسیب‌پذیر - آنهایی که هنوز وصله CVE-2023-33426 را اعمال نکرده‌اند یا پیکربندی‌های نادرست دارند - به میلیون‌ها نفر می‌رسد. با این حال، محققان هنوز میزان کل ارز دیجیتال تولید شده توسط ماینرهای آسیب‌رسان را ارزیابی نکرده‌اند.

برای بررسی اینکه آیا دستگاه آنها توسط Perfctl مورد هدف قرار گرفته یا آلوده شده است، کاربران باید به دنبال شاخص های شناسایی شده سازش باشند. علاوه بر این، آنها باید مراقب افزایش غیرمعمول در استفاده از CPU یا کندی غیرمنتظره سیستم، به ویژه در دوره های بیکاری باشند.