Zlonamerna programska oprema Perfctl
Vrsta nevarne programske opreme je okužila na tisoče sistemov, ki temeljijo na Linuxu. Izstopa po svojem prikritem pristopu, obsežnem naboru napačnih konfiguracij, ki jih lahko izkoristi, in širokem naboru škodljivih dejanj, ki jih lahko izvede.
Ta grožnja, ki je bila prvič odkrita leta 2021, uporablja več kot 20.000 pogosto najdenih napačnih konfiguracij za infiltracijo v sisteme in predstavlja tveganje za milijone naprav, povezanih z internetom. Poleg tega izkorišča CVE-2023-33426, kritično ranljivost z najvišjo oceno resnosti 10, ki je bila lani popravljena v Apache RocketMQ, platformi za sporočanje in pretakanje, ki se pogosto uporablja v sistemih Linux.
Kazalo
Zlonamerna programska oprema Perfctl je opremljena z obsežno paleto zlonamernih zmožnosti
Ime Perfctl izhaja iz zlonamerne komponente, ki prikrito rudari kriptovalute. Razvijalci, katerih identiteta ostaja neznana, so združili ime orodja za spremljanje delovanja Linuxa 'perf' s 'ctl', običajno okrajšavo v pripomočkih ukazne vrstice. Pomembna lastnost Perfctl je njegova uporaba imen procesov in datotek, ki so zelo podobna tistim, ki jih običajno najdemo v okoljih Linux, kar mu omogoča, da se izogne odkrivanju prizadetih uporabnikov.
Za nadaljnje prikrivanje svoje prisotnosti Perfctl uporablja različne prikrite taktike. Med njimi je namestitev številnih komponent kot rootkitov, posebne kategorije zlonamerne programske opreme, namenjene skrivanju pred operacijskim sistemom in skrbniškimi orodji. Dodatne strategije izogibanja vključujejo:
- Ustavitev zlahka zaznavnih dejavnosti ob prijavi novih uporabnikov
- Uporaba vtičnice Unix preko TOR za zunanjo komunikacijo
- Izbris njegove namestitvene binarne datoteke po izvedbi in nato zagon kot storitev v ozadju
- Manipulacija procesa Linux pcap_loop z uporabo tehnike, znane kot hooking, da prepreči skrbniškim orodjem snemanje zlonamernega prometa
- Zatiranje napak sporočil, da se izognete vidnim opozorilom med izvajanjem.
Perfctl je zasnovan za obstojnost, kar mu omogoča, da ostane na okuženih strojih tudi po ponovnem zagonu ali poskusu odstranitve osnovnih komponent. To doseže s tehnikami, kot je spreminjanje skripta ~/.profile, ki inicializira okolje med prijavo uporabnika, kar omogoča, da se zlonamerna programska oprema naloži pred zakonitimi strežniškimi procesi. Prav tako se iz pomnilnika kopira na več diskovnih lokacij. Priključitev pcap_loop nadalje poveča obstojnost, saj dovoli, da se nevarne dejavnosti nadaljujejo tudi po tem, ko so bile zaznane in odstranjene primarne koristne obremenitve.
Poleg uporabe sistemskih virov za rudarjenje kriptovalute Perfctl spremeni okuženi stroj v proxy, ki ustvarja dobiček, kar strankam, ki plačujejo, omogoča posredovanje njihovega internetnega prometa. Raziskovalci kibernetske varnosti so tudi ugotovili, da zlonamerna programska oprema deluje kot stranska vrata za namestitev drugih družin zlonamerne programske opreme.
Potek napada okužbe z zlonamerno programsko opremo Perfctl
Po izkoriščanju ranljivosti ali napačne konfiguracije koda izkoriščanja prenese primarni tovor z ogroženega strežnika, ki je bil spremenjen v anonimni distribucijski kanal za zlonamerno programsko opremo. V obravnavanem napadu je bil koristni tovor poimenovan httpd. Po izvedbi se datoteka podvoji iz pomnilnika na novo lokacijo v imeniku /temp, zažene kopirano različico, prekine izvirni proces in izbriše preneseno dvojiško datoteko.
Ko je datoteka premaknjena v imenik /tmp, se izvaja pod drugim imenom, ki posnema znani proces Linuxa, v tem primeru z imenom sh. Nato vzpostavi lokalni postopek ukazovanja in nadzora (C2). Prizadeva si pridobiti privilegije korenskega sistema z izkoriščanjem CVE-2021-4043, ranljivosti stopnjevanja privilegijev, ki je bila leta 2021 popravljena v Gpac, priljubljenem odprtokodnem multimedijskem ogrodju.
Zlonamerna programska oprema se nato kopira iz pomnilnika na več drugih lokacij na disku, pri čemer ponovno uporablja imena, ki so podobna rutinskim sistemskim datotekam. Razmesti tudi rootkit skupaj s zbirko pogosto uporabljenih pripomočkov za Linux, ki so bili spremenjeni tako, da delujejo kot rootkit, skupaj s komponento rudarjenja. V nekaterih primerih zlonamerna programska oprema namesti programsko opremo za »proxy-jacking«, ki se nanaša na prikrito usmerjanje prometa prek okuženega računalnika, pri čemer se prikrije pravi izvor podatkov.
Kot del svojih operacij C2 zlonamerna programska oprema odpre vtičnico Unix, ustvari dva imenika v imeniku /tmp in tam shrani operativne podatke. Ti podatki vključujejo dogodke gostitelja, lokacije njegovih kopij, imena procesov, komunikacijske dnevnike, žetone in dodatne informacije dnevnika. Poleg tega uporablja spremenljivke okolja za shranjevanje podatkov, ki vplivajo na njegovo izvajanje in obnašanje.
Vse binarne datoteke so zapakirane, odstranjene in šifrirane, kar kaže na trdno predanost izogibanju varnostnim ukrepom in zapletanju poskusov povratnega inženiringa. Zlonamerna programska oprema uporablja napredne taktike izogibanja, kot je začasna ustavitev dejavnosti, ko zazna novega uporabnika v datotekah btmp ali utmp, in ukinitev vse konkurenčne zlonamerne programske opreme, da ohrani prevlado nad okuženim sistemom.
Perfctl ogroža na desettisoče naprav
Z analizo podatkov o številu strežnikov Linux, povezanih z internetom prek različnih storitev in aplikacij, raziskovalci ocenjujejo, da je na tisoče strojev okuženih s Perfctl. Njihove ugotovitve kažejo, da nabor ranljivih strojev – tistih, ki še niso uporabili popravka za CVE-2023-33426 ali imajo napačne konfiguracije – znaša milijone. Vendar pa raziskovalci še niso ocenili skupne količine kriptovalute, ki so jo ustvarili škodljivi rudarji.
Da bi uporabniki preverili, ali je njihova naprava tarča ali okužena s Perfctl, bi morali poiskati prepoznane indikatorje ogroženosti. Poleg tega morajo biti pozorni na nenavadne skoke v uporabi procesorja ali nepričakovane upočasnitve sistema, zlasti v obdobjih mirovanja.
