Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Perfctl-malware

Perfctl-malware

Tegen Mezo in Malware
Vertalen naar:
Nederlands

Een reeks bedreigende software heeft duizenden Linux-gebaseerde systemen geïnfecteerd. Het valt op door zijn sluwe aanpak, het uitgebreide scala aan misconfiguraties dat het kan exploiteren en het brede scala aan schadelijke acties dat het kan uitvoeren.

Deze bedreiging werd voor het eerst ontdekt in 2021 en maakt gebruik van meer dan 20.000 veelvoorkomende verkeerde configuraties om systemen te infiltreren, wat een risico vormt voor miljoenen apparaten met internetverbinding. Daarnaast maakt het gebruik van CVE-2023-33426, een kritieke kwetsbaarheid met een maximale ernstscore van 10 die vorig jaar werd gepatcht in Apache RocketMQ, een berichten- en streamingplatform dat veel wordt gebruikt op Linux-systemen.

De Perfctl-malware is uitgerust met een breed scala aan kwaadaardige mogelijkheden

Perfctl ontleent zijn naam aan een kwaadaardige component die heimelijk cryptocurrency mined. De ontwikkelaars, waarvan de identiteit onbekend blijft, combineerden de naam van de Linux performance monitoring tool 'perf' met 'ctl', een veelgebruikte afkorting in command-line utilities. Een opvallend kenmerk van Perfctl is het gebruik van proces- en bestandsnamen die sterk lijken op die welke doorgaans in Linux-omgevingen worden aangetroffen, waardoor het detectie door getroffen gebruikers kan omzeilen.

Om zijn aanwezigheid verder te verbergen, gebruikt Perfctl verschillende stealth-tactieken. Een daarvan is de installatie van veel componenten als rootkits, een specifieke categorie malware die is ontworpen om zich te verbergen voor het besturingssysteem en administratieve tools. Extra ontwijkingsstrategieën omvatten:

  • Het stoppen van gemakkelijk detecteerbare activiteiten bij nieuwe gebruikersaanmeldingen
  • Gebruik van een Unix-socket over TOR voor externe communicatie
  • Het verwijderen van de installatie-binary na uitvoering en vervolgens uitvoeren als achtergrondservice
  • Het manipuleren van het Linux-proces pcap_loop met behulp van een techniek die bekendstaat als hooking om te voorkomen dat administratieve hulpmiddelen schadelijk verkeer registreren
  • Onderdruk berichtfouten om zichtbare waarschuwingen tijdens de uitvoering te voorkomen.

Perfctl is ontworpen voor persistentie, waardoor het op geïnfecteerde machines kan blijven staan, zelfs na herstarts of pogingen om kerncomponenten te elimineren. Het bereikt dit door technieken zoals het aanpassen van het ~/.profile-script, dat de omgeving initialiseert tijdens het inloggen van de gebruiker, waardoor de malware kan worden geladen vóór legitieme serverprocessen. Het kopieert zichzelf ook naar meerdere schijflocaties vanuit het geheugen. Het hooken van pcap_loop verbetert de persistentie verder door onveilige activiteiten toe te staan door te gaan, zelfs nadat primaire payloads zijn gedetecteerd en verwijderd.

Naast het gebruiken van systeembronnen om cryptocurrency te minen, transformeert Perfctl de geïnfecteerde machine in een winstgevende proxy, waardoor betalende klanten hun internetverkeer kunnen doorsturen. Cybersecurity-onderzoekers hebben ook opgemerkt dat de malware fungeert als een achterdeur voor het installeren van andere malwarefamilies.

Aanvalsstroom van de Perfctl Malware-infectie

Nadat er misbruik is gemaakt van een kwetsbaarheid of verkeerde configuratie, downloadt de exploitcode de primaire payload van een gecompromitteerde server, die is veranderd in een anoniem distributiekanaal voor de malware. In de onderzochte aanval werd de payload httpd genoemd. Na uitvoering repliceert het bestand zichzelf van het geheugen naar een nieuwe locatie in de /temp-directory, voert de gekopieerde versie uit, beëindigt het oorspronkelijke proces en verwijdert het gedownloade binaire bestand.

Nadat het bestand is verplaatst naar de /tmp-directory, wordt het uitgevoerd onder een andere naam die een bekend Linux-proces nabootst, in dit geval specifiek sh genoemd. Vervolgens wordt een lokaal Command-and-Control (C2)-proces ingesteld. Het probeert root-systeemprivileges te verkrijgen door CVE-2021-4043 te exploiteren, een privilege-escalatiekwetsbaarheid die in 2021 werd gepatcht in Gpac, een populair open-source multimediaframework.

De malware kopieert zichzelf vervolgens van het geheugen naar verschillende andere schijflocaties, wederom met namen die lijken op routinematige systeembestanden. Het implementeert ook een rootkit samen met een reeks veelgebruikte Linux-hulpprogramma's die zijn aangepast om te functioneren als rootkits, samen met het mining-component. In sommige gevallen installeert de malware software voor "proxy-jacking", wat verwijst naar de geheime routering van verkeer door de geïnfecteerde machine, waarbij de ware oorsprong van de gegevens wordt verborgen.

Als onderdeel van zijn C2-operaties opent de malware een Unix-socket, maakt twee directory's in de /tmp-directory en slaat daar operationele data op. Deze data omvat hostgebeurtenissen, de locaties van zijn kopieën, procesnamen, communicatielogs, tokens en aanvullende loginformatie. Bovendien gebruikt het omgevingsvariabelen om data op te slaan die zijn uitvoering en gedrag beïnvloeden.

Alle binaire bestanden worden ingepakt, gestript en gecodeerd, wat een solide toewijding aan het omzeilen van beveiligingsmaatregelen en het compliceren van reverse engineering-inspanningen aantoont. De malware gebruikt geavanceerde ontwijkingstechnieken, zoals het pauzeren van zijn activiteiten wanneer het een nieuwe gebruiker in de btmp- of utmp-bestanden detecteert en het beëindigen van concurrerende malware om dominantie over het geïnfecteerde systeem te behouden.

Perfctl brengt tienduizenden apparaten in gevaar

Door gegevens te analyseren over het aantal Linux-servers dat via verschillende services en applicaties met internet is verbonden, schatten onderzoekers dat duizenden machines zijn geïnfecteerd met Perfctl. Hun bevindingen geven aan dat de groep kwetsbare machines (die de patch voor CVE-2023-33426 nog niet hebben toegepast of die een verkeerde configuratie hebben) miljoenen bedraagt. De onderzoekers hebben echter nog niet de totale hoeveelheid cryptocurrency die door de schadelijke miners is gegenereerd, beoordeeld.

Om te controleren of hun apparaat is aangevallen of geïnfecteerd door Perfctl, moeten gebruikers letten op de geïdentificeerde indicatoren van compromis. Daarnaast moeten ze waakzaam zijn voor ongebruikelijke pieken in CPU-gebruik of onverwachte vertragingen van het systeem, vooral tijdens inactieve periodes.

Trending

Meest bekeken

Bezig met laden...