Perisian Hasad Perfctl
Satu jenis perisian yang mengancam telah menjangkiti beribu-ribu sistem berasaskan Linux. Ia menyerlah kerana pendekatan senyapnya, pelbagai salah konfigurasi yang boleh dieksploitasi, dan pelbagai tindakan berbahaya yang boleh dilakukannya.
Pertama kali dikesan pada tahun 2021, ancaman ini memanfaatkan lebih 20,000 salah konfigurasi yang biasa ditemui untuk menyusup sistem, yang menimbulkan risiko kepada berjuta-juta peranti yang disambungkan ke Internet. Selain itu, ia mengambil kesempatan daripada CVE-2023-33426, kerentanan kritikal dengan skor keterukan maksimum 10 yang telah ditampal tahun lepas dalam Apache RocketMQ, platform pemesejan dan penstriman yang digunakan secara meluas pada sistem Linux.
Isi kandungan
Perisian Hasad Perfctl Dilengkapi dengan Pelbagai Keupayaan Jahat
Perfctl memperoleh namanya daripada komponen berniat jahat yang secara rahsia melombong mata wang kripto. Pembangun, yang identitinya masih tidak diketahui, menggabungkan nama alat pemantauan prestasi Linux 'perf' dengan 'ctl,' singkatan biasa dalam utiliti baris arahan. Ciri penting Perfctl ialah penggunaan proses dan nama fail yang hampir menyerupai nama yang biasanya ditemui dalam persekitaran Linux, membolehkannya mengelak daripada pengesanan oleh pengguna yang terjejas.
Untuk terus menyembunyikan kehadirannya, Perfctl menggunakan pelbagai taktik sembunyi-sembunyi. Antaranya ialah pemasangan banyak komponen sebagai rootkit, kategori khusus perisian hasad yang direka untuk disembunyikan daripada sistem pengendalian dan alat pentadbiran. Strategi pengelakan tambahan termasuk:
- Menghentikan aktiviti yang mudah dikesan semasa log masuk pengguna baharu
- Menggunakan soket Unix atas TOR untuk komunikasi luaran
- Memadamkan binari pemasangannya selepas pelaksanaan dan seterusnya berjalan sebagai perkhidmatan latar belakang
- Memanipulasi proses Linux pcap_loop menggunakan teknik yang dikenali sebagai hooking untuk menghalang alat pentadbiran daripada merekodkan trafik berniat jahat
- Menyekat ralat mesg untuk mengelakkan makluman yang kelihatan semasa pelaksanaan.
Perfctl direka bentuk untuk kegigihan, membolehkan ia kekal pada mesin yang dijangkiti walaupun selepas but semula atau percubaan untuk menghapuskan komponen teras. Ia mencapai ini melalui teknik seperti mengubah suai skrip ~/.profile, yang memulakan persekitaran semasa log masuk pengguna, membolehkan perisian hasad dimuatkan sebelum proses pelayan yang sah. Ia juga menyalin dirinya ke beberapa lokasi cakera daripada memori. Pengait pcap_loop meningkatkan lagi kegigihan dengan membenarkan aktiviti tidak selamat diteruskan walaupun selepas muatan utama telah dikesan dan dialih keluar.
Selain menggunakan sumber sistem untuk melombong mata wang kripto, Perfctl mengubah mesin yang dijangkiti menjadi proksi yang menjana keuntungan, membolehkan pelanggan yang membayar menyampaikan trafik internet mereka. Penyelidik keselamatan siber juga telah menyatakan bahawa perisian hasad berfungsi sebagai pintu belakang untuk memasang keluarga perisian hasad lain.
Aliran Serangan Jangkitan Perisian Hasad Perfctl
Selepas mengambil kesempatan daripada kelemahan atau salah konfigurasi, kod eksploitasi memuat turun muatan utama daripada pelayan yang terjejas, yang telah ditukar menjadi saluran pengedaran tanpa nama untuk perisian hasad. Dalam serangan yang diperiksa, muatan itu dinamakan httpd. Selepas pelaksanaan, fail itu mereplikasi dirinya daripada memori ke lokasi baharu dalam direktori /temp, menjalankan versi yang disalin, menamatkan proses asal dan memadamkan binari yang dimuat turun.
Setelah dipindahkan ke direktori /tmp, fail tersebut dilaksanakan di bawah nama lain yang meniru proses Linux yang diketahui, khususnya dinamakan sh dalam kes ini. Selepas itu, ia mewujudkan proses Perintah-dan-Kawalan (C2) tempatan. Ia bertujuan untuk mendapatkan keistimewaan sistem akar dengan mengeksploitasi CVE-2021-4043, kelemahan peningkatan keistimewaan yang telah ditampal pada tahun 2021 dalam Gpac, rangka kerja multimedia sumber terbuka yang popular.
Malware kemudian menyalin dirinya dari memori ke beberapa lokasi cakera lain, sekali lagi menggunakan nama yang menyerupai fail sistem rutin. Ia juga menggunakan rootkit bersama-sama dengan suite utiliti Linux yang biasa digunakan yang telah diubah untuk berfungsi sebagai rootkit, bersama-sama dengan komponen perlombongan. Dalam sesetengah keadaan, perisian hasad memasang perisian untuk "penjejakan proksi," yang merujuk kepada penghalaan trafik secara rahsia melalui mesin yang dijangkiti, menyembunyikan asal sebenar data.
Sebagai sebahagian daripada operasi C2nya, perisian hasad membuka soket Unix, mencipta dua direktori dalam direktori /tmp dan menyimpan data operasi di sana. Data ini termasuk acara hos, lokasi salinannya, nama proses, log komunikasi, token dan maklumat log tambahan. Tambahan pula, ia menggunakan pembolehubah persekitaran untuk menyimpan data yang mempengaruhi pelaksanaan dan kelakuannya.
Semua binari dibungkus, dilucutkan dan disulitkan, menunjukkan komitmen padu untuk mengelak langkah keselamatan dan merumitkan usaha kejuruteraan terbalik. Perisian hasad menggunakan taktik pengelakan lanjutan, seperti menjeda aktivitinya apabila ia mengesan pengguna baharu dalam fail btmp atau utmp dan menamatkan sebarang perisian hasad yang bersaing untuk mengekalkan penguasaan ke atas sistem yang dijangkiti.
Perfctl Meletakkan Puluhan Ribu Peranti Berisiko
Dengan menganalisis data tentang bilangan pelayan Linux yang disambungkan ke Internet merentasi pelbagai perkhidmatan dan aplikasi, penyelidik menganggarkan bahawa beribu-ribu mesin dijangkiti Perfctl. Penemuan mereka menunjukkan bahawa kumpulan mesin yang terdedah—yang belum menggunakan tampung untuk CVE-2023-33426 atau mempunyai salah konfigurasi—berjumlah berjuta-juta. Walau bagaimanapun, para penyelidik belum lagi menilai jumlah mata wang kripto yang dihasilkan oleh pelombong yang menyakitkan.
Untuk menyemak sama ada peranti mereka telah disasarkan atau dijangkiti oleh Perfctl, pengguna harus mencari penunjuk kompromi yang dikenal pasti. Selain itu, mereka harus berwaspada terhadap lonjakan luar biasa dalam penggunaan CPU atau kelembapan sistem yang tidak dijangka, terutamanya semasa tempoh terbiar.
