הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית Perfctl Malware

Perfctl Malware

עד Mezo ב-תוכנה זדונית
לתרגם ל:
עברית

זן של תוכנות מאיימות הדביק אלפי מערכות מבוססות לינוקס. הוא בולט בגישה החמקנית שלו, במגוון הרחב של הגדרות שגויות שהוא יכול לנצל, ובמגוון הרחב של פעולות מזיקות שהוא יכול לבצע.

איום זה, שזוהה לראשונה בשנת 2021, ממנף יותר מ-20,000 תצורות שגויות שנמצאו בדרך כלל כדי לחדור למערכות, דבר המהווה סיכון למיליוני מכשירים המחוברים לאינטרנט. בנוסף, היא מנצלת את היתרונות של CVE-2023-33426, פגיעות קריטית עם ציון חומרה מקסימלי של 10 שתוקנה בשנה שעברה ב- Apache RocketMQ, פלטפורמת העברת הודעות והזרמה בשימוש נרחב במערכות לינוקס.

התוכנה הזדונית של Perfctl מצוידת במגוון עצום של יכולות זדוניות

Perfctl שואב את שמו ממרכיב זדוני שכורה בחשאי מטבעות קריפטוגרפיים. המפתחים, שזהותם עדיין לא ידועה, שילבו את השם של כלי ניטור הביצועים של לינוקס 'perf' עם 'ctl', קיצור נפוץ בכלי שירות שורת הפקודה. תכונה בולטת של Perfctl היא השימוש שלו בשמות תהליכים וקבצים הדומים מאוד לאלה שנמצאים בדרך כלל בסביבות לינוקס, מה שמאפשר לו להתחמק מזיהוי על ידי משתמשים מושפעים.

כדי להסתיר עוד יותר את נוכחותו, Perfctl נוקטת בשיטות התגנבות שונות. בין אלה התקנת רכיבים רבים כ-rootkits, קטגוריה ספציפית של תוכנות זדוניות שנועדו להסתתר ממערכת ההפעלה ומכלי הניהול. אסטרטגיות התחמקות נוספות כוללות:

  • עצירת פעילויות הניתנות לזיהוי בקלות לאחר כניסות משתמשים חדשים
  • שימוש בשקע יוניקס מעל TOR לתקשורת חיצונית
  • מחיקת ההתקנה הבינארית שלו לאחר ביצוע ולאחר מכן הפעלה כשירות רקע
  • מניפולציה של תהליך לינוקס pcap_loop באמצעות טכניקה המכונה hooking כדי למנוע מכלי ניהול להקליט תעבורה זדונית
  • דיכוי שגיאות הודעות כדי למנוע התראות גלויות במהלך הביצוע.

Perfctl מתוכנן להתמדה, ומאפשר לו להישאר במחשבים נגועים גם לאחר אתחול מחדש או ניסיונות לחסל רכיבי ליבה. הוא משיג זאת באמצעות טכניקות כגון שינוי הסקריפט ~/.profile, המאתחל את הסביבה במהלך כניסת המשתמש, מה שמאפשר לתוכנה הזדונית להיטען לפני תהליכי שרת לגיטימיים. הוא גם מעתיק את עצמו למספר מיקומי דיסקים מהזיכרון. החיבור של pcap_loop משפר עוד יותר את ההתמדה בכך שהוא מאפשר לפעילויות לא בטוחות להמשיך גם לאחר שמטענים ראשיים זוהו והוסרו.

בנוסף לניצול משאבי מערכת לכריית מטבעות קריפטוגרפיים, Perfctl הופך את המכונה הנגועה לפרוקסי מניב רווחים, ומאפשר ללקוחות משלמים להעביר את תעבורת האינטרנט שלהם. חוקרי אבטחת סייבר ציינו גם שהתוכנה הזדונית מתפקדת כדלת אחורית להתקנת משפחות תוכנות זדוניות אחרות.

זרימת התקפה של זיהום Perfctl תוכנות זדוניות

לאחר ניצול של פגיעות או תצורה שגויה, קוד הניצול מוריד את המטען העיקרי משרת שנפרץ, שהפך לערוץ הפצה אנונימי של התוכנה הזדונית. במתקפה שנבדקה, המטען נקרא httpd. עם הביצוע, הקובץ משכפל את עצמו מהזיכרון למיקום חדש בספריית /temp, מריץ את הגרסה המועתקת, מסיים את התהליך המקורי ומוחק את הקובץ הבינארי שהורד.

לאחר מיקומו מחדש לספריית /tmp, הקובץ מופעל תחת שם אחר המחקה תהליך ידוע של לינוקס, הנקרא ספציפית sh במקרה זה. לאחר מכן, הוא קובע תהליך פיקוד ושליטה מקומי (C2). היא מבקשת להשיג הרשאות מערכת שורש על ידי ניצול CVE-2021-4043, פגיעות הסלמה של הרשאות שתוקנה בשנת 2021 בתוך Gpac, מסגרת מולטימדיה פופולרית בקוד פתוח.

לאחר מכן, התוכנה הזדונית מעתיקה את עצמה מהזיכרון למספר מיקומי דיסקים אחרים, שוב באמצעות שמות הדומים לקבצי מערכת שגרתיים. הוא גם פורס ערכת בסיס יחד עם חבילה של כלי עזר נפוצים של לינוקס ששונו לתפקד כ-rootkits, יחד עם רכיב הכרייה. במקרים מסוימים, התוכנה הזדונית מתקינה תוכנה ל"פריצת פרוקסי", המתייחסת לניתוב סמוי של תעבורה דרך המחשב הנגוע, תוך הסתרת המקור האמיתי של הנתונים.

כחלק מפעולות ה-C2 שלה, התוכנה הזדונית פותחת שקע Unix, יוצרת שתי ספריות בתוך הספרייה /tmp ומאחסנת שם נתונים תפעוליים. נתונים אלה כוללים אירועים מארח, מיקומי העותקים שלו, שמות תהליכים, יומני תקשורת, אסימונים ומידע נוסף ביומן. יתר על כן, הוא משתמש במשתני סביבה כדי לאחסן נתונים המשפיעים על הביצוע וההתנהגות שלהם.

כל הקבצים הבינאריים ארוזים, מופשטים ומוצפנים, מה שמוכיח מחויבות מוצקה להתחמקות מאמצעי אבטחה ומסבך מאמצי הנדסה הפוכה. התוכנה הזדונית משתמשת בטקטיקות התחמקות מתקדמות, כגון הפסקת פעילותה כאשר היא מזהה משתמש חדש בקבצי btmp או utmp וסיום כל תוכנה זדונית מתחרה כדי לשמור על דומיננטיות על המערכת הנגועה.

Perfctl מסכנת עשרות אלפי מכשירים

על ידי ניתוח נתונים על מספר שרתי לינוקס המחוברים לאינטרנט בשירותים ויישומים שונים, חוקרים מעריכים שאלפי מכונות נגועים ב-Perfctl. הממצאים שלהם מצביעים על כך שמאגר המכונות הפגיעות - אלה שעדיין לא החלו את התיקון עבור CVE-2023-33426 או שיש להם תצורה שגויה - מסתכם במיליונים. עם זאת, החוקרים עדיין לא העריכו את הכמות הכוללת של מטבעות קריפטוגרפיים שנוצרו על ידי הכורים הפוגעים.

כדי לבדוק אם המכשיר שלהם היה ממוקד או נגוע על ידי Perfctl, המשתמשים צריכים לחפש את האינדיקטורים שזוהו לפשרה. בנוסף, עליהם להיות ערניים לעליות חריגות בשימוש במעבד או האטות בלתי צפויות במערכת, במיוחד בתקופות סרק.

מגמות

McAfee - המחשב שלך נגוע ב-5 וירוסים! הונאת פופ-אפ

אתרים נוכלים, תוכנות פרסום, הודעות אזהרה מזויפות
איומי סייבר מתפתחים במהירות, ורמאים תמיד מציעים דרכים חדשות להונות משתמשים. אחת הטקטיקות הנפוצות ביותר כוללת מניפולציה של אנשים להאמין שהמכשירים שלהם נגועים בתוכנה זדונית. טקטיקה זו טורפת פחד...

הכי נצפה

הונאת דוא"ל 'Gek Squad'

פישינג, ספאם
37,138
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...