Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Perfctl Malware

Perfctl Malware

Până în Mezo în Programe malware
Tradu in:
Română

O tulpină de software amenințător a infectat mii de sisteme bazate pe Linux. Se remarcă prin abordarea sa ascunsă, gama extinsă de configurații greșite pe care le poate exploata și gama largă de acțiuni dăunătoare pe care le poate efectua.

Detectată pentru prima dată în 2021, această amenințare folosește peste 20.000 de configurații greșite frecvent întâlnite pentru a se infiltra în sisteme, prezentând un risc pentru milioane de dispozitive conectate la internet. În plus, profită de CVE-2023-33426, o vulnerabilitate critică cu un scor maxim de severitate de 10, care a fost corectată anul trecut în Apache RocketMQ, o platformă de mesagerie și streaming utilizată pe scară largă pe sistemele Linux.

Perfctl Malware este echipat cu o gamă vastă de capabilități răuvoitoare

Perfctl își trage numele de la o componentă rău intenționată care minează în secret criptomonede. Dezvoltatorii, ale căror identități rămân necunoscute, au combinat numele instrumentului de monitorizare a performanței Linux „perf” cu „ctl”, o abreviere comună în utilitarele din linia de comandă. O caracteristică notabilă a Perfctl este utilizarea numelor de procese și fișiere care seamănă mult cu cele găsite de obicei în mediile Linux, permițându-i să evite detectarea de către utilizatorii afectați.

Pentru a-și ascunde și mai mult prezența, Perfctl folosește diverse tactici stealth. Printre acestea se numără instalarea multor componente ca rootkit-uri, o categorie specifică de malware concepută pentru a se ascunde de sistemul de operare și instrumentele administrative. Strategiile suplimentare de evaziune includ:

  • Oprirea activităților ușor de detectat la autentificarea noilor utilizatori
  • Utilizarea unui socket Unix peste TOR pentru comunicarea externă
  • Ștergerea binarului său de instalare după execuție și rularea ulterior ca serviciu de fundal
  • Manipularea procesului Linux pcap_loop folosind o tehnică cunoscută sub numele de hooking pentru a împiedica instrumentele administrative să înregistreze trafic rău intenționat
  • Suprimarea erorilor de mesaje pentru a evita alertele vizibile în timpul execuției.

Perfctl este conceput pentru persistență, permițându-i să rămână pe mașinile infectate chiar și după reporniri sau încercări de a elimina componentele de bază. Acesta realizează acest lucru prin tehnici precum modificarea scriptului ~/.profile, care inițializează mediul în timpul autentificării utilizatorului, permițând malware-ului să se încarce înaintea proceselor legitime ale serverului. De asemenea, se copiază pe mai multe locații de disc din memorie. Conectarea pcap_loop îmbunătățește și mai mult persistența, permițând activităților nesigure să continue chiar și după ce sarcinile utile primare au fost detectate și eliminate.

Pe lângă utilizarea resurselor sistemului pentru a extrage criptomonede, Perfctl transformă mașina infectată într-un proxy generator de profit, permițând clienților plătitori să-și transmită traficul de internet. Cercetătorii în domeniul securității cibernetice au observat, de asemenea, că malware-ul funcționează ca o ușă în spate pentru instalarea altor familii de malware.

Fluxul de atac al infecției cu malware Perfctl

După ce a profitat de o vulnerabilitate sau de o configurare greșită, codul de exploatare descarcă sarcina utilă principală de pe un server compromis, care a fost transformat într-un canal de distribuție anonim pentru malware. În atacul examinat, sarcina utilă a fost numită httpd. La execuție, fișierul se replică din memorie într-o nouă locație din directorul /temp, rulează versiunea copiată, încheie procesul original și șterge binarul descărcat.

Odată mutat în directorul /tmp, fișierul se execută sub un alt nume care imită un proces Linux cunoscut, numit în mod special sh în acest caz. Ulterior, stabilește un proces local de comandă și control (C2). Acesta caută să obțină privilegii de sistem rădăcină prin exploatarea CVE-2021-4043, o vulnerabilitate de escaladare a privilegiilor care a fost corectată în 2021 în Gpac, un cadru multimedia popular cu sursă deschisă.

Malware-ul se copiază apoi din memorie în mai multe alte locații de disc, folosind din nou nume care seamănă cu fișierele de sistem de rutină. De asemenea, implementează un rootkit împreună cu o suită de utilitare Linux utilizate în mod obișnuit, care au fost modificate pentru a funcționa ca rootkit-uri, împreună cu componenta de mining. În unele cazuri, malware-ul instalează software pentru „proxy-jacking”, care se referă la rutarea secretă a traficului prin mașina infectată, ascunzând adevărata origine a datelor.

Ca parte a operațiunilor sale C2, malware-ul deschide un socket Unix, creează două directoare în directorul /tmp și stochează acolo datele operaționale. Aceste date includ evenimente gazdă, locațiile copiilor, numele proceselor, jurnalele de comunicare, jetoanele și informațiile suplimentare din jurnal. În plus, utilizează variabile de mediu pentru a stoca date care influențează execuția și comportamentul acestora.

Toate binarele sunt împachetate, eliminate și criptate, demonstrând un angajament solid de a evita măsurile de securitate și de a complica eforturile de inginerie inversă. Malware-ul folosește tactici avansate de evaziune, cum ar fi întreruperea activităților atunci când detectează un nou utilizator în fișierele btmp sau utmp și oprirea oricărui malware concurent pentru a menține dominația asupra sistemului infectat.

Perfctl pune în pericol zeci de mii de dispozitive

Analizând datele despre numărul de servere Linux conectate la Internet prin diverse servicii și aplicații, cercetătorii estimează că mii de mașini sunt infectate cu Perfctl. Descoperirile lor indică faptul că grupul de mașini vulnerabile - cele care nu au aplicat încă patch-ul pentru CVE-2023-33426 sau au configurații greșite - se ridică la milioane. Cu toate acestea, cercetătorii nu au evaluat încă cantitatea totală de criptomonedă generată de minerii vătămatori.

Pentru a verifica dacă dispozitivul lor a fost vizat sau infectat de Perfctl, utilizatorii ar trebui să caute indicatorii identificați de compromis. În plus, ar trebui să fie vigilenți pentru creșteri neobișnuite în utilizarea procesorului sau încetiniri neașteptate ale sistemului, în special în perioadele de inactivitate.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
28,835
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...