Perfctl malvér
Kmeň hrozivého softvéru infikoval tisíce systémov založených na Linuxe. Vyniká svojím nenápadným prístupom, širokým rozsahom nesprávnych konfigurácií, ktoré dokáže využiť, a širokým spektrom škodlivých akcií, ktoré môže vykonať.
Táto hrozba bola prvýkrát zistená v roku 2021 a využíva viac ako 20 000 bežne zistených nesprávnych konfigurácií na infiltráciu systémov, čo predstavuje riziko pre milióny zariadení pripojených k internetu. Okrem toho využíva CVE-2023-33426, kritickú zraniteľnosť s maximálnym skóre závažnosti 10, ktorá bola opravená minulý rok v Apache RocketMQ, platforme na odosielanie správ a streamovanie široko používanej v systémoch Linux.
Obsah
Malvér Perfctl je vybavený rozsiahlym súborom škodlivých schopností
Perfctl odvodzuje svoj názov od škodlivého komponentu, ktorý tajne ťaží kryptomenu. Vývojári, ktorých identita zostáva neznáma, skombinovali názov nástroja na monitorovanie výkonu Linuxu „perf“ s „ctl“, čo je bežná skratka v nástrojoch príkazového riadka. Pozoruhodnou vlastnosťou Perfctl je jeho použitie názvov procesov a súborov, ktoré sa veľmi podobajú tým, ktoré sa bežne vyskytujú v prostrediach Linuxu, čo mu umožňuje vyhnúť sa detekcii dotknutými používateľmi.
Aby ešte viac skryl svoju prítomnosť, Perfctl používa rôzne taktiky utajenia. Medzi nimi je inštalácia mnohých komponentov, ako sú rootkity, špecifická kategória škodlivého softvéru, ktorý sa má skryť pred operačným systémom a administratívnymi nástrojmi. Medzi ďalšie únikové stratégie patria:
- Zastavenie ľahko zistiteľných aktivít po prihlásení nových používateľov
- Využitie Unixového soketu cez TOR na externú komunikáciu
- Vymazanie jeho inštalačného binárneho súboru po spustení a následné spustenie ako služba na pozadí
- Manipulácia s procesom Linux pcap_loop pomocou techniky známej ako hákovanie na zabránenie administratívnym nástrojom v zaznamenávaní škodlivej prevádzky
- Potlačenie chýb správ, aby sa zabránilo viditeľným upozorneniam počas vykonávania.
Perfctl je navrhnutý pre stálosť, čo mu umožňuje zostať na infikovaných počítačoch aj po reštarte alebo pokuse o odstránenie základných komponentov. Dosahuje to technikami, ako je úprava skriptu ~/.profile, ktorý inicializuje prostredie počas prihlásenia používateľa, čím umožňuje načítanie malvéru pred legitímnymi procesmi servera. Skopíruje sa tiež z pamäte na viaceré miesta na disku. Pripojenie pcap_loop ďalej zvyšuje perzistenciu tým, že umožňuje pokračovať v nebezpečných činnostiach aj po zistení a odstránení primárneho užitočného zaťaženia.
Okrem využitia systémových zdrojov na ťažbu kryptomeny, Perfctl transformuje infikovaný stroj na proxy generujúci zisk, ktorý umožňuje platiacim zákazníkom prenášať ich internetový prenos. Výskumníci v oblasti kybernetickej bezpečnosti tiež poznamenali, že malvér funguje ako zadné vrátka na inštaláciu iných rodín malvéru.
Útokový tok infekcie Perfctl Malware
Po využití zraniteľnosti alebo nesprávnej konfigurácie stiahne kód zneužitia primárnu užitočnú časť z napadnutého servera, ktorý sa zmenil na anonymný distribučný kanál pre malvér. V skúmanom útoku bol náklad pomenovaný httpd. Po spustení sa súbor replikuje z pamäte na nové miesto v adresári /temp, spustí skopírovanú verziu, ukončí pôvodný proces a vymaže stiahnutý binárny súbor.
Po premiestnení do adresára /tmp sa súbor spustí pod iným názvom, ktorý napodobňuje známy proces Linuxu, v tomto prípade konkrétne s názvom sh. Následne zavedie miestny proces velenia a riadenia (C2). Snaží sa získať privilégiá koreňového systému využívaním CVE-2021-4043, zraniteľnosti pri eskalácii privilégií, ktorá bola opravená v roku 2021 v rámci Gpac, populárneho open source multimediálneho rámca.
Malvér sa potom skopíruje z pamäte na niekoľko ďalších diskových umiestnení, pričom opäť použije názvy, ktoré pripomínajú bežné systémové súbory. Taktiež nasadzuje rootkit spolu so sadou bežne používaných linuxových nástrojov, ktoré boli pozmenené tak, aby fungovali ako rootkity, spolu s ťažobným komponentom. V niektorých prípadoch malvér nainštaluje softvér na „proxy-jacking“, ktorý odkazuje na skryté smerovanie prevádzky cez infikovaný počítač, čím sa skrýva skutočný pôvod údajov.
Malvér v rámci svojich operácií C2 otvorí soket Unix, vytvorí dva adresáre v adresári /tmp a uloží tam prevádzkové údaje. Tieto údaje zahŕňajú udalosti hostiteľa, umiestnenie jeho kópií, názvy procesov, komunikačné protokoly, tokeny a ďalšie protokolové informácie. Okrem toho využíva premenné prostredia na ukladanie údajov, ktoré ovplyvňujú jeho vykonávanie a správanie.
Všetky binárne súbory sú zabalené, odstránené a zašifrované, čo demonštruje pevný záväzok vyhýbať sa bezpečnostným opatreniam a komplikuje úsilie o reverzné inžinierstvo. Malvér využíva pokročilé únikové taktiky, ako je pozastavenie svojich aktivít, keď v súboroch btmp alebo utmp zistí nového používateľa, a ukončenie akéhokoľvek konkurenčného malvéru, aby si udržal dominanciu nad infikovaným systémom.
Perfctl ohrozuje desiatky tisíc zariadení
Analýzou údajov o počte linuxových serverov pripojených k internetu v rôznych službách a aplikáciách výskumníci odhadujú, že Perfctl sú infikované tisíce počítačov. Ich zistenia naznačujú, že počet zraniteľných počítačov – tých, ktoré ešte neaplikovali opravu pre CVE-2023-33426 alebo majú nesprávne konfigurácie – dosahujú milióny. Vedci však ešte nezhodnotili celkové množstvo kryptomeny, ktorú zraňujúci baníci vygenerovali.
Ak chcete skontrolovať, či ich zariadenie bolo zacielené alebo infikované Perfctl, používatelia by mali hľadať identifikované indikátory ohrozenia. Okrem toho by mali dávať pozor na nezvyčajné skoky vo využívaní procesora alebo neočakávané spomalenia systému, najmä počas nečinnosti.
