Perfctl Ransomware

खतरनाक सॉफ़्टवेयर की एक किस्म ने हज़ारों लिनक्स-आधारित सिस्टम को संक्रमित कर दिया है। यह अपने गुप्त दृष्टिकोण, गलत कॉन्फ़िगरेशन की व्यापक रेंज का फायदा उठा सकता है, और हानिकारक कार्रवाइयों की विस्तृत श्रृंखला के लिए जाना जाता है जो यह कर सकता है।

2021 में पहली बार पता चला यह खतरा सिस्टम में घुसपैठ करने के लिए 20,000 से ज़्यादा आम तौर पर पाई जाने वाली ग़लतफ़हमियों का फ़ायदा उठाता है, जिससे लाखों इंटरनेट से जुड़े डिवाइस को ख़तरा पैदा होता है। इसके अलावा, यह CVE-2023-33426 का फ़ायदा उठाता है, जो एक गंभीर भेद्यता है जिसका अधिकतम गंभीरता स्कोर 10 है जिसे पिछले साल Apache RocketMQ में पैच किया गया था, जो कि Linux सिस्टम पर व्यापक रूप से इस्तेमाल किया जाने वाला मैसेजिंग और स्ट्रीमिंग प्लेटफ़ॉर्म है।

पर्फेक्टल मैलवेयर कई तरह की घातक क्षमताओं से लैस है

Perfctl का नाम एक दुर्भावनापूर्ण घटक से लिया गया है जो गुप्त रूप से क्रिप्टोकरेंसी का खनन करता है। डेवलपर्स, जिनकी पहचान अज्ञात है, ने लिनक्स प्रदर्शन निगरानी उपकरण 'perf' के नाम को 'ctl' के साथ जोड़ दिया, जो कमांड-लाइन उपयोगिताओं में एक सामान्य संक्षिप्त नाम है। Perfctl की एक उल्लेखनीय विशेषता यह है कि यह प्रक्रिया और फ़ाइल नामों का उपयोग करता है जो आमतौर पर लिनक्स वातावरण में पाए जाने वाले नामों से मिलते जुलते हैं, जिससे यह प्रभावित उपयोगकर्ताओं द्वारा पता लगाने से बच जाता है।

अपनी मौजूदगी को और छिपाने के लिए, Perfctl कई तरह की गुप्त रणनीति अपनाता है। इनमें से एक है रूटकिट के रूप में कई घटकों की स्थापना, जो ऑपरेटिंग सिस्टम और प्रशासनिक उपकरणों से छिपाने के लिए डिज़ाइन की गई मैलवेयर की एक विशिष्ट श्रेणी है। अतिरिक्त बचाव रणनीतियों में शामिल हैं:

• नये उपयोगकर्ता लॉगिन पर आसानी से पता लगाने योग्य गतिविधियों को रोकना
• बाह्य संचार के लिए TOR पर Unix सॉकेट का उपयोग करना
• निष्पादन के बाद इसकी स्थापना बाइनरी को हटाना और बाद में पृष्ठभूमि सेवा के रूप में चलाना
• हुकिंग नामक तकनीक का उपयोग करके लिनक्स प्रक्रिया pcap_loop में हेरफेर करना, ताकि प्रशासनिक उपकरणों को दुर्भावनापूर्ण ट्रैफ़िक रिकॉर्ड करने से रोका जा सके
• निष्पादन के दौरान दृश्यमान अलर्ट से बचने के लिए मेसेज त्रुटियों को दबाना।

Perfctl को दृढ़ता के लिए इंजीनियर किया गया है, जो इसे रीबूट या कोर घटकों को खत्म करने के प्रयासों के बाद भी संक्रमित मशीनों पर बने रहने की अनुमति देता है। यह ~/.profile स्क्रिप्ट को संशोधित करने जैसी तकनीकों के माध्यम से इसे प्राप्त करता है, जो उपयोगकर्ता लॉगिन के दौरान पर्यावरण को आरंभ करता है, जिससे मैलवेयर को वैध सर्वर प्रक्रियाओं से पहले लोड करने में सक्षम बनाता है। यह मेमोरी से खुद को कई डिस्क स्थानों पर कॉपी भी करता है। pcap_loop का हुकिंग प्राथमिक पेलोड का पता लगाने और हटाने के बाद भी असुरक्षित गतिविधियों को जारी रखने की अनुमति देकर दृढ़ता को और बढ़ाता है।

क्रिप्टोकरेंसी को माइन करने के लिए सिस्टम संसाधनों का उपयोग करने के अलावा, Perfctl संक्रमित मशीन को लाभ कमाने वाले प्रॉक्सी में बदल देता है, जिससे भुगतान करने वाले ग्राहक अपने इंटरनेट ट्रैफ़िक को रिले कर सकते हैं। साइबर सुरक्षा शोधकर्ताओं ने यह भी नोट किया है कि मैलवेयर अन्य मैलवेयर परिवारों को स्थापित करने के लिए एक बैकडोर के रूप में कार्य करता है।

पर्फेक्टल मैलवेयर संक्रमण का आक्रमण प्रवाह

किसी भेद्यता या गलत कॉन्फ़िगरेशन का फ़ायदा उठाने के बाद, शोषण कोड एक समझौता किए गए सर्वर से प्राथमिक पेलोड डाउनलोड करता है, जिसे मैलवेयर के लिए एक अनाम वितरण चैनल में बदल दिया गया है। जांचे गए हमले में, पेलोड का नाम httpd था। निष्पादन के बाद, फ़ाइल मेमोरी से /temp निर्देशिका में एक नए स्थान पर खुद को दोहराती है, कॉपी किए गए संस्करण को चलाती है, मूल प्रक्रिया को समाप्त करती है, और डाउनलोड की गई बाइनरी को हटा देती है।

/tmp निर्देशिका में स्थानांतरित होने के बाद, फ़ाइल एक अलग नाम के तहत निष्पादित होती है जो एक ज्ञात लिनक्स प्रक्रिया की नकल करती है, जिसे इस मामले में विशेष रूप से sh नाम दिया गया है। इसके बाद, यह एक स्थानीय कमांड-एंड-कंट्रोल (C2) प्रक्रिया स्थापित करता है। यह CVE-2021-4043 का फायदा उठाकर रूट सिस्टम विशेषाधिकार प्राप्त करने का प्रयास करता है, जो एक विशेषाधिकार वृद्धि भेद्यता है जिसे 2021 में Gpac के भीतर पैच किया गया था, जो एक लोकप्रिय ओपन-सोर्स मल्टीमीडिया फ्रेमवर्क है।

इसके बाद मैलवेयर खुद को मेमोरी से कई अन्य डिस्क स्थानों पर कॉपी करता है, एक बार फिर ऐसे नामों का उपयोग करता है जो नियमित सिस्टम फ़ाइलों से मिलते जुलते हैं। यह रूटकिट के साथ-साथ आम तौर पर इस्तेमाल की जाने वाली लिनक्स यूटिलिटीज के एक सूट को भी तैनात करता है, जिन्हें रूटकिट के रूप में कार्य करने के लिए बदल दिया गया है, साथ ही माइनिंग घटक भी। कुछ उदाहरणों में, मैलवेयर "प्रॉक्सी-जैकिंग" के लिए सॉफ़्टवेयर इंस्टॉल करता है, जो संक्रमित मशीन के माध्यम से ट्रैफ़िक के गुप्त रूटिंग को संदर्भित करता है, जिससे डेटा की वास्तविक उत्पत्ति छिप जाती है।

अपने C2 ऑपरेशन के हिस्से के रूप में, मैलवेयर एक यूनिक्स सॉकेट खोलता है, /tmp डायरेक्टरी के भीतर दो डायरेक्टरी बनाता है, और वहां ऑपरेशनल डेटा स्टोर करता है। इस डेटा में होस्ट इवेंट, इसकी कॉपी के स्थान, प्रक्रिया नाम, संचार लॉग, टोकन और अतिरिक्त लॉग जानकारी शामिल है। इसके अलावा, यह अपने निष्पादन और व्यवहार को प्रभावित करने वाले डेटा को संग्रहीत करने के लिए पर्यावरण चर का उपयोग करता है।

सभी बाइनरी पैक, स्ट्रिप्ड और एन्क्रिप्टेड हैं, जो सुरक्षा उपायों से बचने और रिवर्स इंजीनियरिंग प्रयासों को जटिल बनाने के लिए एक ठोस प्रतिबद्धता को प्रदर्शित करता है। मैलवेयर उन्नत बचाव रणनीति का उपयोग करता है, जैसे कि btmp या utmp फ़ाइलों में किसी नए उपयोगकर्ता का पता लगाने पर अपनी गतिविधियों को रोकना और संक्रमित सिस्टम पर प्रभुत्व बनाए रखने के लिए किसी भी प्रतिस्पर्धी मैलवेयर को समाप्त करना।

पर्फेक्टल ने हजारों डिवाइसों को खतरे में डाला

विभिन्न सेवाओं और अनुप्रयोगों में इंटरनेट से जुड़े लिनक्स सर्वरों की संख्या पर डेटा का विश्लेषण करके, शोधकर्ताओं ने अनुमान लगाया है कि हजारों मशीनें Perfctl से संक्रमित हैं। उनके निष्कर्षों से पता चलता है कि असुरक्षित मशीनों का समूह - जिन्होंने अभी तक CVE-2023-33426 के लिए पैच लागू नहीं किया है या जिनमें गलत कॉन्फ़िगरेशन हैं - लाखों की संख्या में हैं। हालाँकि, शोधकर्ताओं ने अभी तक हानिकारक खनिकों द्वारा उत्पन्न क्रिप्टोकरेंसी की कुल मात्रा का आकलन नहीं किया है।

यह जाँचने के लिए कि क्या उनका डिवाइस Perfctl द्वारा लक्षित या संक्रमित है, उपयोगकर्ताओं को समझौता के पहचाने गए संकेतकों पर ध्यान देना चाहिए। इसके अतिरिक्त, उन्हें CPU उपयोग में असामान्य स्पाइक्स या अप्रत्याशित सिस्टम स्लोडाउन के प्रति सतर्क रहना चाहिए, विशेष रूप से निष्क्रिय अवधि के दौरान।