Perfctl Ransomware

위협적인 소프트웨어의 한 종류가 수천 개의 Linux 기반 시스템을 감염시켰습니다. 은밀한 접근 방식, 악용할 수 있는 광범위한 오설정, 수행할 수 있는 광범위한 유해한 작업으로 두드러집니다.

2021년에 처음 감지된 이 위협은 일반적으로 발견되는 20,000개 이상의 잘못된 구성을 활용하여 시스템에 침투하여 수백만 대의 인터넷 연결 장치에 위험을 초래합니다. 또한 Linux 시스템에서 널리 사용되는 메시징 및 스트리밍 플랫폼인 Apache RocketMQ에서 작년에 패치된 최대 심각도 점수 10의 심각한 취약성인 CVE-2023-33426을 이용합니다.

Perfctl Malware는 광범위한 악의적 기능을 갖추고 있습니다.

Perfctl은 암호 화폐를 은밀하게 채굴하는 악성 구성 요소에서 이름을 따왔습니다. 신원이 알려지지 않은 개발자들은 Linux 성능 모니터링 도구인 'perf'의 이름을 명령줄 유틸리티에서 흔히 사용하는 약어인 'ctl'과 결합했습니다. Perfctl의 주목할 만한 특징은 Linux 환경에서 일반적으로 발견되는 것과 매우 유사한 프로세스 및 파일 이름을 사용하여 영향을 받는 사용자의 감지를 피할 수 있다는 것입니다.

Perfctl은 존재를 더욱 감추기 위해 다양한 은밀한 전술을 사용합니다. 여기에는 운영 체제와 관리 도구에서 숨기도록 설계된 특정 범주의 맬웨어인 루트킷으로 많은 구성 요소를 설치하는 것이 포함됩니다. 추가 회피 전략은 다음과 같습니다.

• 새 사용자 로그인 시 쉽게 감지할 수 있는 활동 중지
• 외부 통신을 위해 TOR을 통한 Unix 소켓 활용
• 실행 후 설치 바이너리를 삭제하고 이후 백그라운드 서비스로 실행합니다.
• 후킹이라는 기술을 사용하여 Linux 프로세스 pcap_loop를 조작하여 관리 도구가 악성 트래픽을 기록하지 못하도록 합니다.
• 실행 중에 눈에 띄는 경고가 표시되지 않도록 메시지 오류를 억제합니다.

Perfctl은 지속성을 위해 설계되어 재부팅이나 핵심 구성 요소 제거 시도 후에도 감염된 시스템에 남아 있을 수 있습니다. 이는 사용자 로그인 중에 환경을 초기화하여 멀웨어가 합법적인 서버 프로세스보다 먼저 로드될 수 있도록 하는 ~/.profile 스크립트를 수정하는 것과 같은 기술을 통해 달성됩니다. 또한 메모리에서 여러 디스크 위치로 자체를 복사합니다. pcap_loop의 후킹은 기본 페이로드가 감지되어 제거된 후에도 안전하지 않은 활동이 계속되도록 허용하여 지속성을 더욱 향상시킵니다.

Perfctl은 시스템 리소스를 활용하여 암호화폐를 채굴하는 것 외에도 감염된 컴퓨터를 수익을 창출하는 프록시로 변환하여 비용을 지불하는 고객이 인터넷 트래픽을 중계할 수 있도록 합니다. 사이버 보안 연구원들은 또한 이 맬웨어가 다른 맬웨어 패밀리를 설치하기 위한 백도어 역할을 한다고 지적했습니다.

Perfctl Malware 감염의 공격 흐름

취약점이나 잘못된 구성을 이용한 후, 익스플로잇 코드는 손상된 서버에서 기본 페이로드를 다운로드하고, 이 서버는 맬웨어의 익명 배포 채널로 전환됩니다. 조사된 공격에서 페이로드는 httpd로 명명되었습니다. 실행 시, 파일은 메모리에서 /temp 디렉터리의 새 위치로 자체 복제되고, 복사된 버전을 실행하고, 원래 프로세스를 종료하고, 다운로드된 바이너리를 삭제합니다.

/tmp 디렉토리로 재배치되면 해당 파일은 알려진 Linux 프로세스, 특히 이 경우 sh라는 이름을 모방한 다른 이름으로 실행됩니다. 그런 다음 로컬 명령 및 제어(C2) 프로세스를 설정합니다. 인기 있는 오픈소스 멀티미디어 프레임워크인 Gpac에서 2021년에 패치된 권한 상승 취약점인 CVE-2021-4043을 악용하여 루트 시스템 권한을 얻으려고 합니다.

그런 다음 맬웨어는 메모리에서 다른 여러 디스크 위치로 자체를 복사하는데, 이때도 일상적인 시스템 파일과 비슷한 이름을 사용합니다. 또한 루트킷으로 작동하도록 변경된 일반적으로 사용되는 Linux 유틸리티 모음과 함께 루트킷을 배포하고 채굴 구성 요소도 함께 배포합니다. 어떤 경우에는 맬웨어가 "프록시 재킹" 소프트웨어를 설치하는데, 이는 감염된 컴퓨터를 통해 트래픽을 은밀하게 라우팅하여 데이터의 진짜 출처를 숨기는 것을 말합니다.

C2 작업의 일환으로 맬웨어는 Unix 소켓을 열고 /tmp 디렉토리 내에 두 개의 디렉토리를 생성하고 거기에 운영 데이터를 저장합니다. 이 데이터에는 호스트 이벤트, 복사본 위치, 프로세스 이름, 통신 로그, 토큰 및 추가 로그 정보가 포함됩니다. 또한 환경 변수를 사용하여 실행 및 동작에 영향을 미치는 데이터를 저장합니다.

모든 바이너리는 압축, 스트립, 암호화되어 보안 조치를 회피하고 역엔지니어링 노력을 복잡하게 만드는 확고한 의지를 보여줍니다. 이 맬웨어는 btmp 또는 utmp 파일에서 새 사용자를 감지하면 활동을 일시 중지하고 감염된 시스템에 대한 지배력을 유지하기 위해 경쟁하는 모든 맬웨어를 종료하는 등 고급 회피 전략을 사용합니다.

Perfctl은 수만 대의 기기를 위험에 빠뜨립니다.

연구자들은 다양한 서비스와 애플리케이션에서 인터넷에 연결된 Linux 서버 수에 대한 데이터를 분석하여 수천 대의 머신이 Perfctl에 감염된 것으로 추정합니다. 그들의 연구 결과에 따르면 취약한 머신 풀(아직 CVE-2023-33426에 대한 패치를 적용하지 않았거나 구성이 잘못된 머신)은 수백만 대에 달합니다. 그러나 연구자들은 아직 해로운 채굴자들이 생성한 총 암호화폐 금액을 평가하지 않았습니다.

자신의 기기가 Perfctl에 의해 타겟이 되었거나 감염되었는지 확인하려면 사용자는 식별된 침해 지표를 찾아야 합니다. 또한 CPU 사용률의 비정상적인 급증이나 예상치 못한 시스템 속도 저하, 특히 유휴 기간에는 주의해야 합니다.