Perfctl Malware
Vrsta prijetećeg softvera zarazila je tisuće sustava temeljenih na Linuxu. Ističe se svojim prikrivenim pristupom, širokim rasponom pogrešnih konfiguracija koje može iskoristiti i širokim spektrom štetnih radnji koje može izvesti.
Prvi put otkrivena 2021., ova prijetnja koristi više od 20.000 uobičajenih pogrešnih konfiguracija za infiltraciju u sustave, predstavljajući rizik za milijune uređaja povezanih s internetom. Uz to, iskorištava CVE-2023-33426, kritičnu ranjivost s maksimalnom ocjenom ozbiljnosti 10 koja je zakrpana prošle godine u Apache RocketMQ, platformi za razmjenu poruka i strujanje koja se široko koristi na Linux sustavima.
Sadržaj
Zlonamjerni softver Perfctl opremljen je širokim nizom zlonamjernih mogućnosti
Perfctl je svoje ime dobio po zlonamjernoj komponenti koja tajno rudari kriptovalute. Programeri, čiji identiteti ostaju nepoznati, kombinirali su naziv alata za nadzor performansi Linuxa 'perf' s 'ctl', uobičajenom skraćenicom u uslužnim programima naredbenog retka. Značajna značajka Perfctl-a je njegova upotreba naziva procesa i datoteka koji su vrlo slični onima koji se obično nalaze u Linux okruženjima, što mu omogućuje da izbjegne otkrivanje pogođenih korisnika.
Kako bi dodatno prikrio svoju prisutnost, Perfctl koristi razne taktike prikrivanja. Među njima je instalacija mnogih komponenti kao rootkita, specifične kategorije zlonamjernog softvera dizajniranog za skrivanje od operativnog sustava i administrativnih alata. Dodatne strategije izbjegavanja uključuju:
- Zaustavljanje lako uočljivih aktivnosti nakon prijave novih korisnika
- Korištenje Unix utičnice preko TOR-a za vanjsku komunikaciju
- Brisanje svoje instalacijske binarne datoteke nakon izvođenja i naknadnog pokretanja kao pozadinske usluge
- Manipuliranje Linux procesom pcap_loop korištenjem tehnike poznate kao spajanje kako bi se spriječilo administrativne alate da zabilježe zlonamjerni promet
- Suzbijanje grešaka u porukama kako bi se izbjegla vidljiva upozorenja tijekom izvođenja.
Perfctl je projektiran za postojanost, što mu omogućuje da ostane na zaraženim strojevima čak i nakon ponovnog pokretanja ili pokušaja eliminacije osnovnih komponenti. To postiže tehnikama kao što je modificiranje skripte ~/.profile, koja inicijalizira okruženje tijekom prijave korisnika, omogućujući učitavanje zlonamjernog softvera prije legitimnih procesa poslužitelja. Također se kopira na više lokacija diska iz memorije. Priključivanje pcap_loop dodatno poboljšava postojanost dopuštajući da se nesigurne aktivnosti nastave čak i nakon što su primarni korisni učinci otkriveni i uklonjeni.
Osim korištenja sistemskih resursa za rudarenje kriptovalute, Perfctl pretvara zaraženo računalo u proxy koji stvara profit, omogućujući korisnicima koji plaćaju prijenos svog internetskog prometa. Istraživači kibernetičke sigurnosti također su primijetili da zlonamjerni softver funkcionira kao stražnja vrata za instaliranje drugih obitelji zlonamjernih programa.
Tijek napada Perfctl Malware infekcije
Nakon što iskoristi ranjivost ili pogrešnu konfiguraciju, eksploatacijski kod preuzima primarni korisni teret s kompromitiranog poslužitelja, koji je pretvoren u anonimni distribucijski kanal za zlonamjerni softver. U ispitivanom napadu korisni teret je nazvan httpd. Nakon izvođenja, datoteka se replicira iz memorije na novu lokaciju u direktoriju /temp, pokreće kopiranu verziju, prekida izvorni proces i briše preuzetu binarnu datoteku.
Nakon što se premjesti u direktorij /tmp, datoteka se izvršava pod drugim imenom koje oponaša poznati Linux proces, posebno nazvan sh u ovom slučaju. Nakon toga, uspostavlja lokalni proces zapovijedanja i kontrole (C2). Nastoji steći privilegije korijenskog sustava iskorištavanjem CVE-2021-4043, ranjivosti eskalacije privilegija koja je zakrpana 2021. unutar Gpac-a, popularnog multimedijskog okvira otvorenog koda.
Zlonamjerni softver zatim se kopira iz memorije na nekoliko drugih diskovnih lokacija, opet koristeći imena koja nalikuju rutinskim sistemskim datotekama. Također postavlja rootkit zajedno s paketom često korištenih Linux uslužnih programa koji su promijenjeni da funkcioniraju kao rootkitovi, zajedno s komponentom rudarenja. U nekim slučajevima zlonamjerni softver instalira softver za "proxy-jacking", koji se odnosi na tajno usmjeravanje prometa kroz zaraženi stroj, prikrivajući pravo podrijetlo podataka.
Kao dio svojih C2 operacija, zlonamjerni softver otvara Unix utičnicu, stvara dva direktorija unutar direktorija /tmp i tamo pohranjuje operativne podatke. Ovi podaci uključuju događaje glavnog računala, lokacije njegovih kopija, nazive procesa, komunikacijske zapisnike, tokene i dodatne podatke dnevnika. Nadalje, koristi varijable okruženja za pohranu podataka koji utječu na njegovo izvođenje i ponašanje.
Sve su binarne datoteke zapakirane, uklonjene i šifrirane, što pokazuje čvrstu predanost izbjegavanju sigurnosnih mjera i kompliciranju napora obrnutog inženjeringa. Zlonamjerni softver koristi napredne taktike izbjegavanja, kao što je pauziranje svojih aktivnosti kada otkrije novog korisnika u btmp ili utmp datotekama i ukidanje bilo kojeg konkurentskog zlonamjernog softvera kako bi održao dominaciju nad zaraženim sustavom.
Perfctl dovodi desetke tisuća uređaja u opasnost
Analizirajući podatke o broju Linux poslužitelja povezanih s internetom putem različitih usluga i aplikacija, istraživači procjenjuju da su tisuće strojeva zaražene Perfctlom. Njihova otkrića pokazuju da skup ranjivih strojeva – onih koji još nisu primijenili zakrpu za CVE-2023-33426 ili imaju pogrešne konfiguracije – iznosi milijune. Međutim, istraživači još nisu procijenili ukupnu količinu kriptovalute koju su generirali štetni rudari.
Kako bi provjerili je li njihov uređaj ciljano ili zaražen Perfctlom, korisnici bi trebali potražiti identificirane pokazatelje ugroženosti. Osim toga, trebali bi paziti na neuobičajene skokove u korištenju CPU-a ili neočekivana usporavanja sustava, osobito tijekom razdoblja mirovanja.
