Perfctl skadelig programvare
En stamme av truende programvare har infisert tusenvis av Linux-baserte systemer. Den skiller seg ut for sin snikende tilnærming, det omfattende spekteret av feilkonfigurasjoner den kan utnytte, og det brede utvalget av skadelige handlinger det kan utføre.
Denne trusselen ble først oppdaget i 2021, og utnytter over 20 000 vanlige feilkonfigurasjoner for å infiltrere systemer, noe som utgjør en risiko for millioner av Internett-tilkoblede enheter. I tillegg drar den fordel av CVE-2023-33426, en kritisk sårbarhet med en maksimal alvorlighetsgrad på 10 som ble oppdatering i fjor i Apache RocketMQ, en meldings- og strømmeplattform som er mye brukt på Linux-systemer.
Innholdsfortegnelse
Perfctl-malwaren er utstyrt med et stort utvalg av ondsinnede evner
Perfctl henter navnet sitt fra en ondsinnet komponent som skjult miner kryptovaluta. Utviklerne, hvis identitet forblir ukjent, kombinerte navnet på Linux-ytelsesovervåkingsverktøyet 'perf' med 'ctl', en vanlig forkortelse i kommandolinjeverktøy. Et bemerkelsesverdig trekk ved Perfctl er bruken av prosess- og filnavn som ligner de som vanligvis finnes i Linux-miljøer, slik at den kan unngå oppdagelse av berørte brukere.
For ytterligere å skjule sin tilstedeværelse, bruker Perfctl forskjellige stealth-taktikker. Blant disse er installasjonen av mange komponenter som rootkits, en spesifikk kategori av skadelig programvare designet for å skjule fra operativsystemet og administrative verktøy. Ytterligere unndragelsesstrategier inkluderer:
- Stopper lett gjenkjennelige aktiviteter ved nye brukerpålogginger
- Bruke en Unix-kontakt over TOR for ekstern kommunikasjon
- Sletter den binære installasjonen etter kjøring og kjører deretter som en bakgrunnstjeneste
- Manipulere Linux-prosessen pcap_loop ved å bruke en teknikk kjent som hooking for å forhindre at administrative verktøy registrerer ondsinnet trafikk
- Undertrykker meldingsfeil for å unngå synlige varsler under utførelse.
Perfctl er konstruert for utholdenhet, slik at den kan forbli på infiserte maskiner selv etter omstart eller forsøk på å eliminere kjernekomponenter. Den oppnår dette gjennom teknikker som å endre ~/.profile-skriptet, som initialiserer miljøet under brukerpålogging, slik at skadelig programvare kan lastes før legitime serverprosesser. Den kopierer også seg selv til flere diskplasseringer fra minnet. Tilkoblingen av pcap_loop forbedrer utholdenheten ytterligere ved å tillate usikre aktiviteter å fortsette selv etter at primær nyttelast er oppdaget og fjernet.
I tillegg til å bruke systemressurser for å utvinne kryptovaluta, forvandler Perfctl den infiserte maskinen til en profittgenererende proxy, slik at betalende kunder kan videresende internettrafikken sin. Cybersikkerhetsforskere har også bemerket at skadelig programvare fungerer som en bakdør for å installere andre skadevarefamilier.
Angrepsflyt av Perfctl Malware-infeksjon
Etter å ha utnyttet en sårbarhet eller feilkonfigurasjon, laster utnyttelseskoden ned den primære nyttelasten fra en kompromittert server, som har blitt omgjort til en anonym distribusjonskanal for skadelig programvare. I det undersøkte angrepet ble nyttelasten kalt httpd. Ved kjøring replikerer filen seg selv fra minnet til en ny plassering i /temp-katalogen, kjører den kopierte versjonen, avslutter den opprinnelige prosessen og sletter den nedlastede binære filen.
Når filen er flyttet til /tmp-katalogen, kjøres filen under et annet navn som etterligner en kjent Linux-prosess, spesielt kalt sh i dette tilfellet. Deretter etablerer den en lokal Command-and-Control (C2) prosess. Den søker å få rotsystemprivilegier ved å utnytte CVE-2021-4043, et sikkerhetsproblem som ble rettet opp i 2021 i Gpac, et populært multimediarammeverk med åpen kildekode.
Skadevaren kopierer seg selv fra minnet til flere andre diskplasseringer, igjen ved å bruke navn som ligner rutinemessige systemfiler. Den distribuerer også et rootkit sammen med en pakke med ofte brukte Linux-verktøy som har blitt endret til å fungere som rootkits, sammen med gruvekomponenten. I noen tilfeller installerer skadelig programvare programvare for "proxy-jacking", som refererer til skjult ruting av trafikk gjennom den infiserte maskinen, og skjuler den sanne opprinnelsen til dataene.
Som en del av C2-operasjonene åpner skadevaren en Unix-socket, oppretter to kataloger i /tmp-katalogen og lagrer driftsdata der. Disse dataene inkluderer vertshendelser, plasseringen av kopiene, prosessnavn, kommunikasjonslogger, tokens og tilleggslogginformasjon. Videre bruker den miljøvariabler for å lagre data som påvirker utførelse og oppførsel.
Alle binærfiler er pakket, strippet og kryptert, noe som viser en solid forpliktelse til å unngå sikkerhetstiltak og komplisere omvendt utvikling. Skadevaren bruker avanserte unnvikelsestaktikker, for eksempel å sette aktivitetene på pause når den oppdager en ny bruker i btmp- eller utmp-filene og avslutte eventuell konkurrerende skadelig programvare for å opprettholde dominansen over det infiserte systemet.
Perfctl setter titusenvis av enheter i fare
Ved å analysere data om antall Linux-servere koblet til Internett på tvers av ulike tjenester og applikasjoner, anslår forskere at tusenvis av maskiner er infisert med Perfctl. Funnene deres indikerer at mengden av sårbare maskiner – de som ennå ikke har tatt i bruk oppdateringen for CVE-2023-33426 eller har feilkonfigurasjoner – utgjør millioner. Imidlertid har forskerne ennå ikke vurdert den totale mengden kryptovaluta generert av de sårende gruvearbeiderne.
For å sjekke om enheten deres er målrettet mot eller infisert av Perfctl, bør brukere se etter de identifiserte indikatorene på kompromiss. I tillegg bør de være på vakt for uvanlige topper i CPU-bruk eller uventede systemnedganger, spesielt i perioder med inaktivitet.
