Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Perfctl Malware

Perfctl Malware

Mezo -ra Malware-ben
Fordítás ide:
Magyar

A fenyegető szoftverek sorozata Linux-alapú rendszerek ezreit fertőzte meg. Kiemelkedik a lopakodó megközelítésével, az általa kihasználható hibás konfigurációk széles skálájával és az általa végrehajtható káros műveletek széles skálájával.

Ezt a fenyegetést először 2021-ben észlelték, és több mint 20 000 gyakran talált hibás konfigurációt használ fel a rendszerekbe való beszivárgáshoz, ami kockázatot jelent az internetre csatlakozó eszközök milliói számára. Ezenkívül kihasználja a CVE-2023-33426, egy kritikus, 10-es maximális súlyosságú biztonsági rést, amelyet tavaly javítottak ki az Apache RocketMQ-ban, a Linux rendszereken széles körben használt üzenetküldő és streaming platformon.

A Perfctl rosszindulatú program rosszindulatú képességek széles skálájával van felszerelve

A Perfctl nevét egy rosszindulatú összetevőről kapta, amely rejtetten kriptovalutát bányász. A fejlesztők, akiknek kiléte ismeretlen, a Linux teljesítményfigyelő eszközének „perf” nevét a „ctl”-lel kombinálták, amely a parancssori segédprogramok gyakori rövidítése. A Perfctl figyelemre méltó jellemzője, hogy olyan folyamat- és fájlneveket használ, amelyek nagyon hasonlítanak a Linux-környezetekben tipikusan megtalálhatóakhoz, lehetővé téve, hogy elkerülje az érintett felhasználók észlelését.

Jelenlétének további elrejtése érdekében a Perfctl különféle lopakodó taktikákat alkalmaz. Ezek közé tartozik számos összetevő rootkitként történő telepítése, amely a rosszindulatú programok egy speciális kategóriája, amely az operációs rendszer és az adminisztrációs eszközök elől való elrejtőzést szolgálja. A további kijátszási stratégiák a következők:

  • Könnyen észlelhető tevékenységek leállítása új felhasználói bejelentkezéskor
  • Unix socket használata TOR-on keresztül külső kommunikációhoz
  • A telepítési bináris fájl törlése a végrehajtás után, majd háttérszolgáltatásként fut
  • A pcap_loop Linux-folyamat manipulálása a hooking néven ismert technikával, amely megakadályozza az adminisztratív eszközök rosszindulatú forgalom rögzítését
  • Üzenethibák letiltása a látható riasztások elkerülése érdekében a végrehajtás során.

A Perfctl-t a tartósságra tervezték, lehetővé téve, hogy a fertőzött gépeken maradjon még az újraindítás vagy az alapvető összetevők eltávolításának kísérlete után is. Ezt olyan technikákkal éri el, mint például a ~/.profile szkript módosítása, amely inicializálja a környezetet a felhasználói bejelentkezés során, lehetővé téve a rosszindulatú program betöltődését, mielőtt a törvényes kiszolgálói folyamatok megkezdődnének. Ezenkívül a memóriából több lemezre másolja magát. A pcap_loop összekapcsolása tovább javítja a kitartást azáltal, hogy lehetővé teszi a nem biztonságos tevékenységek folytatását még az elsődleges hasznos terhelések észlelése és eltávolítása után is.

Amellett, hogy rendszererőforrásokat használ a kriptovaluta bányászatára, a Perfctl a fertőzött gépet nyereséget termelő proxyvá alakítja, lehetővé téve a fizető ügyfelek számára, hogy továbbítsák internetes forgalmukat. A kiberbiztonsági kutatók azt is megjegyezték, hogy a rosszindulatú program hátsó ajtóként funkcionál más rosszindulatú programcsaládok telepítéséhez.

A Perfctl rosszindulatú programfertőzés támadási folyamata

A sebezhetőség vagy hibás konfiguráció kihasználása után a kihasználó kód letölti az elsődleges hasznos adatot egy feltört szerverről, amely a rosszindulatú program névtelen terjesztési csatornájává vált. A vizsgált támadásban a hasznos teher httpd nevet kapta. Végrehajtáskor a fájl replikálja magát a memóriából egy új helyre a /temp könyvtárban, lefuttatja a másolt verziót, leállítja az eredeti folyamatot, és törli a letöltött bináris fájlt.

Miután áthelyezték a /tmp könyvtárba, a fájl egy másik néven fut le, amely egy ismert Linux folyamatot utánoz, ebben az esetben konkrétan sh. Ezt követően létrehoz egy helyi Command-and-Control (C2) folyamatot. A CVE-2021-4043, a jogkiterjesztési sebezhetőség kihasználásával igyekszik gyökérrendszeri jogosultságokat szerezni, amelyet 2021-ben javítottak ki a Gpac-on, egy népszerű nyílt forráskódú multimédiás keretrendszeren belül.

A kártevő ezután átmásolja magát a memóriából több más lemezhelyre, ismét olyan neveket használva, amelyek hasonlítanak a rutin rendszerfájlokra. Ezenkívül telepít egy rootkitet, valamint egy sor általánosan használt Linux segédprogramot, amelyeket úgy módosítottak, hogy rootkitként működjenek, valamint a bányászati komponenst. Egyes esetekben a kártevő szoftvert telepít a "proxy-jack"-hez, ami a forgalom titkos átirányítására utal a fertőzött gépen keresztül, elrejtve az adatok valódi eredetét.

C2-műveleteinek részeként a kártevő megnyit egy Unix socketet, két könyvtárat hoz létre a /tmp könyvtárban, és ott tárolja a működési adatokat. Ezek az adatok magukban foglalják a gazdagép eseményeket, a másolatok helyét, a folyamatneveket, a kommunikációs naplókat, a tokeneket és a további naplóinformációkat. Továbbá környezeti változókat használ a végrehajtását és viselkedését befolyásoló adatok tárolására.

Minden bináris csomagolt, eltávolított és titkosított, ami szilárd elkötelezettséget mutat a biztonsági intézkedések elkerülése és a visszafejtési erőfeszítések bonyolítása iránt. A rosszindulatú program fejlett kijátszási taktikákat alkalmaz, például szünetelteti tevékenységét, ha új felhasználót észlel a btmp vagy utmp fájlokban, és megszünteti a versengő kártevőket, hogy fenntartsa a fertőzött rendszer feletti dominanciát.

A Perfctl eszközök tízezreit veszélyezteti

A különféle szolgáltatásokon és alkalmazásokon keresztül az internethez kapcsolódó Linux-kiszolgálók számának elemzésével a kutatók becslése szerint több ezer gépet fertőzött meg Perfctl. Eredményeik azt mutatják, hogy a sebezhető gépek – amelyek még nem telepítették a CVE-2023-33426 javítást, vagy hibásan konfigurálták őket – milliós nagyságrendűek. A kutatók azonban még nem mérték fel a bántó bányászok által generált kriptovaluta teljes mennyiségét.

Annak ellenőrzéséhez, hogy eszközüket megcélozta-e vagy megfertőzte-e a Perfctl, a felhasználóknak meg kell keresniük a kompromisszum azonosított jeleit. Ezenkívül ügyelniük kell a CPU-használat szokatlan kiugrásaira vagy a rendszer váratlan lelassulására, különösen a tétlenségi időszakokban.

Felkapott

Legnézettebb

„Geek Squad” e-mail átverés

Adathalászat, Spam
37,138
A Geek Squad, egy népszerű technikai támogatási szolgáltató a Geek Squad Email Scam nevű adathalász csalás áldozata lett. Ez a technikai támogatási átverés hamis e-maileket használ, amelyek ráveszik az embereket személyes adataik megadására, például hitelkártyaadatokra, e-mail címekre, sőt társadalombiztosítási számokra is. Ebben a cikkben magáról a csalásról fogunk beszélni, hogyan néz ki,...

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
28,835
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...