Perfctl Вредоносное ПО
Штамм опасного программного обеспечения заразил тысячи систем на базе Linux. Он выделяется своим скрытным подходом, широким спектром неправильных конфигураций, которые он может использовать, и широким спектром вредоносных действий, которые он может выполнять.
Впервые обнаруженная в 2021 году, эта угроза использует более 20 000 распространенных ошибок конфигурации для проникновения в системы, представляя риск для миллионов подключенных к Интернету устройств. Кроме того, она использует CVE-2023-33426, критическую уязвимость с максимальным уровнем серьезности 10, которая была исправлена в прошлом году в Apache RocketMQ, платформе обмена сообщениями и потоковой передачи, широко используемой в системах Linux.
Оглавление
Вредоносное ПО Perfctl оснащено огромным набором вредоносных возможностей
Perfctl получил свое название от вредоносного компонента, который скрытно добывает криптовалюту. Разработчики, чьи личности остаются неизвестными, объединили название инструмента мониторинга производительности Linux «perf» с «ctl», распространенной аббревиатурой в утилитах командной строки. Примечательной особенностью Perfctl является использование им имен процессов и файлов, которые очень похожи на те, которые обычно встречаются в средах Linux, что позволяет ему избегать обнаружения пострадавшими пользователями.
Чтобы еще больше скрыть свое присутствие, Perfctl использует различные скрытные тактики. Среди них — установка многих компонентов в качестве руткитов, особой категории вредоносного ПО, предназначенного для сокрытия от операционной системы и административных инструментов. Дополнительные стратегии уклонения включают:
- Прекращение легко обнаруживаемых действий при входе новых пользователей в систему
- Использование сокета Unix через TOR для внешней связи
- Удаление его двоичного файла установки после выполнения и последующий запуск в качестве фоновой службы
- Манипулирование процессом Linux pcap_loop с использованием техники, известной как перехват, для предотвращения записи вредоносного трафика административными инструментами
- Подавление сообщений об ошибках для избежания видимых оповещений во время выполнения.
Perfctl разработан для сохранения, что позволяет ему оставаться на зараженных машинах даже после перезагрузки или попыток устранения основных компонентов. Это достигается с помощью таких методов, как изменение скрипта ~/.profile, который инициализирует среду во время входа пользователя в систему, позволяя вредоносному ПО загружаться до легитимных процессов сервера. Он также копирует себя в несколько мест на диске из памяти. Подключения pcap_loop еще больше повышают сохранение, позволяя небезопасным действиям продолжаться даже после обнаружения и удаления основных полезных нагрузок.
Помимо использования системных ресурсов для майнинга криптовалюты, Perfctl превращает зараженную машину в прокси-сервер, генерирующий прибыль, позволяя платящим клиентам ретранслировать свой интернет-трафик. Исследователи кибербезопасности также отметили, что вредоносная программа функционирует как бэкдор для установки других семейств вредоносных программ.
Поток атаки вредоносного ПО Perfctl
После использования уязвимости или неправильной конфигурации код эксплойта загружает основную полезную нагрузку со скомпрометированного сервера, который был превращен в анонимный канал распространения вредоносного ПО. В исследованной атаке полезная нагрузка была названа httpd. После выполнения файл реплицирует себя из памяти в новое место в каталоге /temp, запускает скопированную версию, завершает исходный процесс и удаляет загруженный двоичный файл.
После перемещения в каталог /tmp файл выполняется под другим именем, которое имитирует известный процесс Linux, в данном случае конкретно названный sh. Впоследствии он устанавливает локальный процесс Command-and-Control (C2). Он пытается получить привилегии корневой системы, эксплуатируя CVE-2021-4043, уязвимость повышения привилегий, которая была исправлена в 2021 году в Gpac, популярном мультимедийном фреймворке с открытым исходным кодом.
Затем вредоносная программа копирует себя из памяти в несколько других мест на диске, снова используя имена, которые напоминают обычные системные файлы. Она также развертывает руткит вместе с набором часто используемых утилит Linux, которые были изменены для работы в качестве руткитов, вместе с компонентом майнинга. В некоторых случаях вредоносная программа устанавливает программное обеспечение для «прокси-джекинга», что означает скрытую маршрутизацию трафика через зараженную машину, скрывая истинное происхождение данных.
В рамках своих операций C2 вредоносная программа открывает сокет Unix, создает два каталога в каталоге /tmp и сохраняет там операционные данные. Эти данные включают события хоста, местоположение его копий, имена процессов, журналы связи, токены и дополнительную информацию журнала. Кроме того, она использует переменные среды для хранения данных, которые влияют на ее выполнение и поведение.
Все двоичные файлы упакованы, очищены и зашифрованы, что демонстрирует твердую приверженность обходу мер безопасности и усложнению усилий по обратной разработке. Вредоносная программа использует продвинутые тактики обхода, такие как приостановка своей деятельности при обнаружении нового пользователя в файлах btmp или utmp и завершение работы любого конкурирующего вредоносного ПО для сохранения доминирования над зараженной системой.
Perfctl подвергает риску десятки тысяч устройств
Анализируя данные о количестве серверов Linux, подключенных к Интернету через различные службы и приложения, исследователи подсчитали, что тысячи машин заражены Perfctl. Их выводы показывают, что пул уязвимых машин — тех, которые еще не применили исправление для CVE-2023-33426 или имеют неправильные конфигурации — составляет миллионы. Однако исследователи еще не оценили общий объем криптовалюты, сгенерированной вредоносными майнерами.
Чтобы проверить, не подверглось ли их устройство атаке или заражению Perfctl, пользователи должны искать выявленные индикаторы компрометации. Кроме того, они должны быть бдительны в отношении необычных скачков в использовании ЦП или неожиданных замедлений системы, особенно в периоды простоя.
