Perfctl Ransomware
Draudošas programmatūras celms ir inficējis tūkstošiem Linux balstītu sistēmu. Tas izceļas ar savu slepeno pieeju, plašo nepareizo konfigurāciju klāstu, ko tas var izmantot, un plašo kaitīgo darbību klāstu, ko tas var veikt.
Šis drauds pirmo reizi tika atklāts 2021. gadā, un tas izmanto vairāk nekā 20 000 bieži konstatētu nepareizu konfigurāciju, lai iefiltrētos sistēmās, radot risku miljoniem ar internetu savienotu ierīču. Turklāt tas izmanto priekšrocības, ko sniedz CVE-2023-33426 — kritiska ievainojamība ar maksimālo smaguma pakāpi 10, kas pagājušajā gadā tika izlabota Apache RocketMQ — ziņojumapmaiņas un straumēšanas platformā, ko plaši izmanto Linux sistēmās.
Satura rādītājs
Perfctl ļaunprogrammatūra ir aprīkota ar plašu ļaunprātīgu iespēju klāstu
Perfctl nosaukums ir cēlies no ļaunprātīga komponenta, kas slēpti iegūst kriptovalūtu. Izstrādātāji, kuru identitāte joprojām nav zināma, apvienoja Linux veiktspējas uzraudzības rīka nosaukumu "perf" ar "ctl", kas ir bieži sastopams saīsinājums komandrindas utilītprogrammās. Ievērojama Perfctl iezīme ir procesu un failu nosaukumi, kas ir ļoti līdzīgi tiem, kas parasti sastopami Linux vidēs, ļaujot to izvairīties no ietekmētajiem lietotājiem.
Lai vēl vairāk slēptu savu klātbūtni, Perfctl izmanto dažādas slepenas taktikas. To vidū ir daudzu komponentu kā sakņu komplektu instalēšana, kas ir īpaša ļaunprātīgas programmatūras kategorija, kas paredzēta, lai paslēptos no operētājsistēmas un administratīvajiem rīkiem. Papildu izvairīšanās stratēģijas ietver:
- Viegli nosakāmu darbību apturēšana pēc jaunu lietotāju pieteikšanās
- Unix ligzdas izmantošana virs TOR ārējai komunikācijai
- Instalācijas binārā faila dzēšana pēc izpildes un pēc tam darbojas kā fona pakalpojums
- Manipulēšana ar Linux procesu pcap_loop, izmantojot paņēmienu, kas pazīstams kā piesaiste, lai neļautu administratīvajiem rīkiem reģistrēt ļaunprātīgu trafiku
- Ziņojumu kļūdu izslēgšana, lai izvairītos no redzamiem brīdinājumiem izpildes laikā.
Perfctl ir izstrādāta noturībai, ļaujot tai palikt inficētajās iekārtās pat pēc atkārtotas palaišanas vai mēģinājumiem likvidēt galvenos komponentus. Tas tiek panākts, izmantojot tādas metodes kā ~/.profile skripta modificēšana, kas inicializē vidi lietotāja pieteikšanās laikā, ļaujot ļaunprātīgai programmatūrai ielādēt pirms likumīgiem servera procesiem. Tas arī kopē sevi vairākās diska vietās no atmiņas. pcap_loop piesaiste vēl vairāk uzlabo noturību, ļaujot turpināt nedrošas darbības pat pēc tam, kad ir konstatēta un noņemta primārā lietderīgā slodze.
Papildus sistēmas resursu izmantošanai kriptovalūtas ieguvei, Perfctl pārveido inficēto mašīnu par peļņu nesošu starpniekserveri, ļaujot maksājošiem klientiem pārraidīt savu interneta trafiku. Kiberdrošības pētnieki ir arī atzīmējuši, ka ļaunprogrammatūra darbojas kā aizmugures durvis citu ļaunprātīgas programmatūras ģimeņu instalēšanai.
Perfctl ļaunprātīgas programmatūras infekcijas uzbrukuma plūsma
Pēc ievainojamības vai nepareizas konfigurācijas izmantošanas ekspluatācijas kods lejupielādē primāro lietderīgo slodzi no apdraudēta servera, kas ir pārvērsts par anonīmu ļaunprātīgas programmatūras izplatīšanas kanālu. Pārbaudītajā uzbrukumā krava tika nosaukta httpd. Pēc izpildes fails atkārtojas no atmiņas uz jaunu vietu direktorijā /temp, palaiž kopēto versiju, pārtrauc sākotnējo procesu un izdzēš lejupielādēto bināro failu.
Pēc pārvietošanas uz /tmp direktoriju fails tiek izpildīts ar citu nosaukumu, kas atdarina zināmu Linux procesu, kas šajā gadījumā īpaši nosaukts par sh. Pēc tam tas izveido vietējo komandu un vadības (C2) procesu. Tā cenšas iegūt saknes sistēmas privilēģijas, izmantojot CVE-2021-4043 — privilēģiju eskalācijas ievainojamību, kas tika izlabota 2021. gadā Gpac — populārā atvērtā pirmkoda multivides sistēmā.
Ļaunprātīga programmatūra pēc tam kopē sevi no atmiņas uz vairākām citām diska vietām, atkal izmantojot nosaukumus, kas atgādina parastos sistēmas failus. Tas arī izvieto rootkit kopā ar plaši izmantotu Linux utilītu komplektu, kas ir pārveidots, lai darbotos kā sakņu komplekti, kā arī ieguves komponents. Dažos gadījumos ļaunprātīga programmatūra instalē programmatūru "starpniekservera uzlaušanai", kas attiecas uz slēptu trafika maršrutēšanu caur inficēto iekārtu, slēpjot datu patieso izcelsmi.
C2 operāciju ietvaros ļaunprogrammatūra atver Unix ligzdu, izveido divus direktorijus /tmp direktorijā un saglabā tajā darbības datus. Šie dati ietver resursdatora notikumus, to kopiju atrašanās vietas, procesu nosaukumus, sakaru žurnālus, marķierus un papildu žurnāla informāciju. Turklāt tas izmanto vides mainīgos, lai saglabātu datus, kas ietekmē tā izpildi un uzvedību.
Visi binārie faili ir iesaiņoti, noņemti un šifrēti, apliecinot stingru apņemšanos izvairīties no drošības pasākumiem un sarežģīt reversās inženierijas centienus. Ļaunprātīgajai programmatūrai tiek izmantota uzlabota izvairīšanās taktika, piemēram, tā darbību apturēšana, kad tā atklāj jaunu lietotāju btmp vai utmp failos, un jebkuras konkurējošas ļaunprātīgas programmatūras darbības pārtraukšana, lai saglabātu dominējošo stāvokli pār inficēto sistēmu.
Perfctl pakļauj riskam desmitiem tūkstošu ierīču
Analizējot datus par Linux serveru skaitu, kas ir savienoti ar internetu dažādos pakalpojumos un lietojumprogrammās, pētnieki lēš, ka tūkstošiem mašīnu ir inficētas ar Perfctl. Viņu atklājumi liecina, ka ievainojamo iekārtu kopums — to, kuras vēl nav lietojis CVE-2023-33426 ielāpu vai kurām ir nepareiza konfigurācija, — sasniedz miljoniem. Tomēr pētnieki vēl nav novērtējuši kopējo kriptovalūtas daudzumu, ko radījuši kaitīgie kalnrači.
Lai pārbaudītu, vai viņu ierīce ir bijusi mērķtiecīga vai inficēta ar Perfctl, lietotājiem ir jāmeklē identificētie kompromisa indikatori. Turklāt viņiem jābūt modriem attiecībā uz neparastu CPU lietojuma pieaugumu vai negaidītu sistēmas palēnināšanos, īpaši dīkstāves periodos.
