មេរោគ Perfctl

ភាពតានតឹងនៃកម្មវិធីគំរាមកំហែងបានឆ្លងមេរោគរាប់ពាន់ប្រព័ន្ធដែលមានមូលដ្ឋានលើលីនុច។ វាលេចធ្លោសម្រាប់វិធីសាស្រ្តបំបាំងកាយរបស់វា ជួរដ៏ធំទូលាយនៃការកំណត់រចនាសម្ព័ន្ធខុសដែលវាអាចទាញយកបាន និងអារេដ៏ធំទូលាយនៃសកម្មភាពបង្កគ្រោះថ្នាក់ដែលវាអាចអនុវត្តបាន។

បានរកឃើញជាលើកដំបូងនៅឆ្នាំ 2021 ការគំរាមកំហែងនេះមានឥទ្ធិពលជាង 20,000 ជាទូទៅបានរកឃើញការកំណត់មិនត្រឹមត្រូវក្នុងការជ្រៀតចូលប្រព័ន្ធ ដែលបង្កហានិភ័យដល់ឧបករណ៍រាប់លានដែលភ្ជាប់អ៊ីនធឺណិត។ លើសពីនេះទៀត វាទាញយកអត្ថប្រយោជន៍ពី CVE-2023-33426 ដែលជាភាពងាយរងគ្រោះដ៏សំខាន់ដែលមានពិន្ទុភាពធ្ងន់ធ្ងរអតិបរមា 10 ដែលត្រូវបានជួសជុលកាលពីឆ្នាំមុននៅក្នុង Apache RocketMQ ដែលជាវេទិកាផ្ញើសារ និងស្ទ្រីមដែលប្រើយ៉ាងទូលំទូលាយនៅលើប្រព័ន្ធលីនុច។

មេរោគ Perfctl ត្រូវបានបំពាក់ជាមួយនឹងអារេដ៏ធំនៃសមត្ថភាពអាក្រក់

Perfctl ទាញយកឈ្មោះរបស់វាពីសមាសធាតុព្យាបាទ ដែលលាក់បាំងការជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូ។ អ្នកអភិវឌ្ឍន៍ដែលមិនស្គាល់អត្តសញ្ញាណ បានដាក់បញ្ចូលឈ្មោះឧបករណ៍ត្រួតពិនិត្យដំណើរការលីនុច 'perf' ជាមួយ 'ctl' ដែលជាអក្សរកាត់ទូទៅនៅក្នុងឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជា។ លក្ខណៈពិសេសគួរឱ្យកត់សម្គាល់នៃ Perfctl គឺការប្រើប្រាស់របស់វានៃដំណើរការ និងឈ្មោះឯកសារដែលស្រដៀងទៅនឹងអ្វីដែលជាធម្មតាត្រូវបានរកឃើញនៅក្នុងបរិស្ថានលីនុច ដែលអនុញ្ញាតឱ្យវាគេចពីការរកឃើញដោយអ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់។

ដើម្បីលាក់បាំងវត្តមានរបស់វាបន្ថែមទៀត Perfctl ប្រើល្បិចបំបាំងកាយផ្សេងៗ។ ក្នុងចំណោមទាំងនេះគឺជាការដំឡើងនៃសមាសភាគជាច្រើនជា rootkits ដែលជាប្រភេទជាក់លាក់នៃមេរោគដែលត្រូវបានរចនាឡើងដើម្បីលាក់ពីប្រព័ន្ធប្រតិបត្តិការ និងឧបករណ៍រដ្ឋបាល។ យុទ្ធសាស្ត្រ​គេច​បន្ថែម​រួម​មាន៖

• ការបញ្ឈប់សកម្មភាពដែលអាចរកឃើញយ៉ាងងាយស្រួលនៅពេលចូលអ្នកប្រើប្រាស់ថ្មី។
• ការប្រើប្រាស់រន្ធ Unix លើ TOR សម្រាប់ទំនាក់ទំនងខាងក្រៅ
• ការលុបប្រព័ន្ធគោលពីរនៃការដំឡើងរបស់វាបន្ទាប់ពីការប្រតិបត្តិ និងដំណើរការជាបន្តបន្ទាប់ជាសេវាកម្មផ្ទៃខាងក្រោយ
• រៀបចំដំណើរការលីនុច pcap_loop ដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជា hooking ដើម្បីការពារឧបករណ៍រដ្ឋបាលពីការកត់ត្រាចរាចរព្យាបាទ
• ការទប់ស្កាត់កំហុសនៃសារដើម្បីជៀសវាងការជូនដំណឹងដែលអាចមើលឃើញកំឡុងពេលប្រតិបត្តិ។

Perfctl ត្រូវបានវិស្វកម្មសម្រាប់ភាពស្ថិតស្ថេរ ដែលអនុញ្ញាតឱ្យវានៅតែមាននៅលើម៉ាស៊ីនដែលមានមេរោគ សូម្បីតែបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ ឬព្យាយាមលុបបំបាត់សមាសធាតុស្នូលក៏ដោយ។ វាសម្រេចបានវាតាមរយៈបច្ចេកទេសដូចជាការកែប្រែស្គ្រីប ~/.profile ដែលចាប់ផ្តើមបរិស្ថានកំឡុងពេលចូលរបស់អ្នកប្រើប្រាស់ ដែលអនុញ្ញាតឱ្យមេរោគអាចផ្ទុកមុនពេលដំណើរការម៉ាស៊ីនមេស្របច្បាប់។ វាក៏ចម្លងខ្លួនវាទៅទីតាំងឌីសច្រើនពីអង្គចងចាំផងដែរ។ ការភ្ជាប់ pcap_loop ពង្រឹងការជាប់លាប់បន្ថែមទៀតដោយអនុញ្ញាតឱ្យសកម្មភាពដែលមិនមានសុវត្ថិភាពបន្ត សូម្បីតែបន្ទាប់ពីបន្ទុកបឋមត្រូវបានរកឃើញ និងដកចេញក៏ដោយ។

បន្ថែមពីលើការប្រើប្រាស់ធនធានប្រព័ន្ធដើម្បីជីកយករ៉ែ cryptocurrency Perfctl បំប្លែងម៉ាស៊ីនដែលមានមេរោគទៅជាប្រូកស៊ីដែលបង្កើតប្រាក់ចំណេញ ដែលអនុញ្ញាតឱ្យអតិថិជនបង់ប្រាក់ដើម្បីបញ្ជូនចរាចរអ៊ីនធឺណិតរបស់ពួកគេ។ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតក៏បានកត់សម្គាល់ផងដែរថាមេរោគមានមុខងារជា backdoor សម្រាប់ដំឡើងពពួក malware ផ្សេងទៀត។

លំហូរនៃការវាយប្រហារនៃមេរោគ Perfctl Malware

បន្ទាប់ពីទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះ ឬការកំណត់មិនត្រឹមត្រូវ កូដកេងប្រវ័ញ្ចទាញយកបន្ទុកចម្បងពីម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល ដែលត្រូវបានប្រែក្លាយទៅជាបណ្តាញចែកចាយអនាមិកសម្រាប់មេរោគ។ នៅក្នុងការវាយប្រហារដែលបានពិនិត្យនោះ payload ត្រូវបានគេដាក់ឈ្មោះថា httpd ។ នៅពេលដំណើរការ ឯកសារចម្លងខ្លួនវាពីអង្គចងចាំទៅទីតាំងថ្មីក្នុងថត /temp ដំណើរការកំណែដែលបានចម្លង បញ្ចប់ដំណើរការដើម និងលុបប្រព័ន្ធគោលពីរដែលបានទាញយក។

នៅពេលផ្លាស់ប្តូរទីតាំងទៅថត / tmp ឯកសារដំណើរការក្រោមឈ្មោះផ្សេងដែលធ្វើត្រាប់តាមដំណើរការលីនុចដែលគេស្គាល់ ជាពិសេសមានឈ្មោះ sh ក្នុងករណីនេះ។ ក្រោយមកវាបង្កើតដំណើរការ Command-and-Control (C2) មូលដ្ឋាន។ វាស្វែងរកការទទួលបានសិទ្ធិជា root ដោយទាញយកប្រយោជន៍ពី CVE-2021-4043 ដែលជាភាពងាយរងគ្រោះនៃការកើនឡើងឯកសិទ្ធិដែលត្រូវបានជួសជុលនៅឆ្នាំ 2021 នៅក្នុង Gpac ដែលជាក្របខ័ណ្ឌពហុព័ត៌មានបើកចំហដ៏ពេញនិយម។

មេរោគបន្ទាប់មកចម្លងខ្លួនវាពីអង្គចងចាំទៅកាន់ទីតាំងឌីសជាច្រើនផ្សេងទៀត ជាថ្មីម្តងទៀតដោយប្រើឈ្មោះដែលស្រដៀងនឹងឯកសារប្រព័ន្ធធម្មតា។ វាក៏ដាក់ពង្រាយ rootkit រួមជាមួយនឹងឈុតឧបករណ៍ប្រើប្រាស់លីនុចដែលប្រើជាទូទៅ ដែលត្រូវបានផ្លាស់ប្តូរឱ្យដំណើរការជា rootkits រួមជាមួយនឹងសមាសធាតុរុករករ៉ែ។ ក្នុងករណីខ្លះ មេរោគដំឡើងកម្មវិធីសម្រាប់ "ប្រូកស៊ី Jacking" ដែលសំដៅលើការបិទបាំងផ្លូវនៃចរាចរណ៍តាមរយៈម៉ាស៊ីនដែលមានមេរោគ ដោយលាក់បាំងប្រភពដើមពិតនៃទិន្នន័យ។

ជាផ្នែកមួយនៃប្រតិបត្តិការ C2 របស់វា មេរោគបើករន្ធ Unix បង្កើតថតពីរនៅក្នុងថត /tmp និងរក្សាទុកទិន្នន័យប្រតិបត្តិការនៅទីនោះ។ ទិន្នន័យនេះរួមបញ្ចូលព្រឹត្តិការណ៍ម៉ាស៊ីន ទីតាំងនៃច្បាប់ចម្លងរបស់វា ឈ្មោះដំណើរការ កំណត់ហេតុទំនាក់ទំនង សញ្ញាសម្ងាត់ និងព័ត៌មានកំណត់ហេតុបន្ថែម។ លើសពីនេះ វាប្រើប្រាស់អថេរបរិស្ថានដើម្បីរក្សាទុកទិន្នន័យដែលមានឥទ្ធិពលលើការប្រតិបត្តិ និងអាកប្បកិរិយារបស់វា។

ប្រព័ន្ធគោលពីរទាំងអស់ត្រូវបានខ្ចប់ ដកចេញ និងអ៊ិនគ្រីប ដែលបង្ហាញពីការប្តេជ្ញាចិត្តយ៉ាងមុតមាំក្នុងការគេចចេញពីវិធានការសុវត្ថិភាព និងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងផ្នែកវិស្វកម្មបញ្ច្រាស។ មេរោគនេះប្រើយុទ្ធសាស្ត្រគេចវេសកម្រិតខ្ពស់ ដូចជាការផ្អាកសកម្មភាពរបស់វា នៅពេលដែលវារកឃើញអ្នកប្រើប្រាស់ថ្មីនៅក្នុងឯកសារ btmp ឬ utmp និងការបញ្ចប់មេរោគដែលប្រកួតប្រជែងដើម្បីរក្សាការគ្រប់គ្រងលើប្រព័ន្ធមេរោគ។

Perfctl ធ្វើឱ្យឧបករណ៍រាប់ម៉ឺនគ្រឿងប្រឈមនឹងហានិភ័យ

តាមរយៈការវិភាគទិន្នន័យលើចំនួនម៉ាស៊ីនមេលីនុចដែលភ្ជាប់ទៅអ៊ីនធឺណិតតាមសេវាកម្ម និងកម្មវិធីផ្សេងៗ អ្នកស្រាវជ្រាវប៉ាន់ស្មានថាម៉ាស៊ីនរាប់ពាន់ត្រូវបានឆ្លងមេរោគ Perfctl ។ ការរកឃើញរបស់ពួកគេបង្ហាញថា ឃ្លាំងនៃម៉ាស៊ីនដែលងាយរងគ្រោះ - អ្នកដែលមិនទាន់បានអនុវត្តបំណះសម្រាប់ CVE-2023-33426 ឬមានការកំណត់មិនត្រឹមត្រូវ - មានចំនួនរាប់លាន។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវមិនទាន់បានវាយតម្លៃអំពីចំនួនសរុបនៃរូបិយប័ណ្ណគ្រីបតូដែលបង្កើតដោយអ្នករុករករ៉ែដែលមានគ្រោះថ្នាក់នោះទេ។

ដើម្បីពិនិត្យមើលថាតើឧបករណ៍របស់ពួកគេត្រូវបានកំណត់គោលដៅ ឬឆ្លងមេរោគដោយ Perfctl អ្នកប្រើប្រាស់គួរតែរកមើលសូចនាករដែលកំណត់អត្តសញ្ញាណនៃការសម្របសម្រួល។ លើសពីនេះទៀត ពួកគេគួរតែប្រុងប្រយ័ត្នចំពោះការកើនឡើងមិនធម្មតានៃការប្រើប្រាស់ស៊ីភីយូ ឬការយឺតយ៉ាវនៃប្រព័ន្ធដែលមិនរំពឹងទុក ជាពិសេសក្នុងអំឡុងពេលទំនេរ។