„Perfctl“ kenkėjiška programa
Grėsmingos programinės įrangos atmaina užkrėtė tūkstančius Linux pagrindu veikiančių sistemų. Jis išsiskiria savo slaptu požiūriu, daugybe netinkamų konfigūracijų, kurias gali išnaudoti, ir daugybe žalingų veiksmų, kuriuos gali atlikti.
Pirmą kartą aptikta 2021 m., ši grėsmė panaudoja daugiau nei 20 000 dažnai aptinkamų klaidingų konfigūracijų, kad įsiskverbtų į sistemas, o tai kelia pavojų milijonams prie interneto prijungtų įrenginių. Be to, jis naudojasi CVE-2023-33426, kritiniu pažeidžiamumu, kurio didžiausias sunkumo balas yra 10, kuris praėjusiais metais buvo pataisytas Apache RocketMQ, pranešimų ir srautinio perdavimo platformoje, plačiai naudojamoje Linux sistemose.
Turinys
„Perfctl“ kenkėjiška programinė įranga aprūpinta daugybe piktavališkų galimybių
Perfctl pavadinimas kilęs iš kenkėjiško komponento, kuris slapta kasa kriptovaliutą. Kūrėjai, kurių tapatybė lieka nežinoma, sujungė „Linux“ našumo stebėjimo įrankio pavadinimą „perf“ su „ctl“, kuris yra įprastas komandų eilutės paslaugų santrumpa. Ypatinga „Perfctl“ ypatybė yra procesų ir failų pavadinimai, kurie labai panašūs į tuos, kurie paprastai būna „Linux“ aplinkoje, leidžiantys išvengti paveiktų vartotojų aptikimo.
Siekdama toliau nuslėpti savo buvimą, Perfctl taiko įvairias slaptumo taktikas. Tarp jų yra daugelio komponentų, kaip rootkit, įdiegimas, specifinė kenkėjiškų programų kategorija, skirta pasislėpti nuo operacinės sistemos ir administracinių įrankių. Papildomos vengimo strategijos apima:
- Lengvai aptinkamos veiklos sustabdymas naujai prisijungus
- Išoriniam ryšiui naudojamas Unix lizdas per TOR
- Po vykdymo pašalinamas jo diegimo dvejetainis failas ir paleidžiamas kaip foninė paslauga
- Manipuliavimas su Linux procesu pcap_loop naudojant techniką, vadinamą užkabinimu, kad administracinės priemonės neįrašytų kenkėjiško srauto
- Pranešimų klaidų slopinimas, kad būtų išvengta matomų įspėjimų vykdymo metu.
„Perfctl“ sukurtas taip, kad būtų nuolatinis, todėl jis gali likti užkrėstuose įrenginiuose net po paleidimo iš naujo ar bandymų pašalinti pagrindinius komponentus. Tai pasiekiama naudojant tokius metodus kaip ~/.profile scenarijaus modifikavimas, kuris inicijuoja aplinką vartotojo prisijungimo metu ir leidžia kenkėjiškai programai įkelti prieš teisėtus serverio procesus. Jis taip pat nukopijuoja save iš atminties į kelias disko vietas. „pcap_loop“ prijungimas dar labiau padidina patvarumą, nes leidžia tęsti nesaugią veiklą net aptikus ir pašalinus pirminius naudingus krovinius.
Perfctl ne tik naudoja sistemos išteklius kriptovaliutai išgauti, bet ir paverčia užkrėstą mašiną pelno generuojančiu tarpiniu serveriu, leidžiančiu mokantiems klientams perduoti savo interneto srautą. Kibernetinio saugumo tyrėjai taip pat pastebėjo, kad kenkėjiška programa veikia kaip užpakalinės durys diegiant kitas kenkėjiškų programų šeimas.
Perfctl kenkėjiškų programų infekcijos atakos srautas
Pasinaudojus pažeidžiamumu arba netinkama konfigūracija, išnaudojimo kodas atsisiunčia pirminę naudingąją apkrovą iš pažeisto serverio, kuris buvo paverstas anoniminiu kenkėjiškos programos platinimo kanalu. Išnagrinėtoje atakoje naudingasis krovinys buvo pavadintas httpd. Vykdant, failas pakartoja save iš atminties į naują vietą /temp kataloge, paleidžia nukopijuotą versiją, nutraukia pradinį procesą ir ištrina atsisiųstą dvejetainį failą.
Perkėlus į /tmp katalogą, failas vykdomas kitu pavadinimu, kuris imituoja žinomą Linux procesą, šiuo atveju konkrečiai pavadintą sh. Vėliau jis sukuria vietinį komandų ir valdymo (C2) procesą. Ja siekiama įgyti šakninės sistemos privilegijas išnaudodama CVE-2021-4043 – privilegijų eskalavimo pažeidžiamumą, kuris buvo pataisytas 2021 m. naudojant Gpac, populiarią atvirojo kodo daugialypės terpės sistemą.
Tada kenkėjiška programa nukopijuoja save iš atminties į keletą kitų disko vietų, dar kartą naudodama pavadinimus, panašius į įprastus sistemos failus. Jis taip pat diegia „rootkit“ kartu su dažniausiai naudojamų „Linux“ paslaugų rinkiniu, kuris buvo pakeistas, kad veiktų kaip „rootkit“, kartu su kasybos komponentu. Kai kuriais atvejais kenkėjiška programa įdiegia programinę įrangą, skirtą tarpinio serverio įsilaužimui, o tai reiškia slaptą srauto nukreipimą per užkrėstą įrenginį, slepiant tikrąją duomenų kilmę.
Vykdydama C2 operacijas, kenkėjiška programa atidaro „Unix“ lizdą, sukuria du katalogus /tmp kataloge ir ten išsaugo veiklos duomenis. Šie duomenys apima pagrindinius įvykius, jų kopijų vietas, procesų pavadinimus, ryšio žurnalus, prieigos raktus ir papildomą žurnalo informaciją. Be to, jis naudoja aplinkos kintamuosius duomenims, turintiems įtakos jo vykdymui ir elgesiui, saugoti.
Visi dvejetainiai failai yra supakuoti, pašalinti ir užšifruoti, o tai rodo tvirtą įsipareigojimą vengti saugos priemonių ir apsunkinti atvirkštinės inžinerijos pastangas. Kenkėjiška programinė įranga naudoja pažangią vengimo taktiką, pvz., pristabdo savo veiklą, kai aptinka naują vartotoją btmp arba utmp failuose, ir nutraukia bet kokią konkuruojančią kenkėjišką programą, kad išlaikytų dominavimą užkrėstos sistemos atžvilgiu.
„Perfctl“ kelia pavojų dešimtims tūkstančių įrenginių
Analizuodami duomenis apie Linux serverių, prijungtų prie interneto įvairiose paslaugose ir programose, skaičių, mokslininkai apskaičiavo, kad tūkstančiai mašinų yra užkrėstos Perfctl. Jų išvados rodo, kad pažeidžiamų mašinų – tų, kurios dar nepritaikytos pataisos CVE-2023-33426 arba kurių konfigūracija yra netinkama – skaičius siekia milijonus. Tačiau mokslininkai dar neįvertino bendros kriptovaliutos sumos, kurią sugeneravo kenkiantys kalnakasiai.
Norėdami patikrinti, ar jų įrenginys buvo pritaikytas arba užkrėstas Perfctl, vartotojai turėtų ieškoti nustatytų kompromiso požymių. Be to, jie turėtų būti budrūs dėl neįprastų procesoriaus naudojimo šuolių ar netikėto sistemos sulėtėjimo, ypač neveikiant.
