Перфцтл Малваре
Врста претећих софтвера заразила је хиљаде система заснованих на Линуку. Истиче се својим прикривеним приступом, широким спектром погрешних конфигурација које може да искористи и широким спектром штетних радњи које може да изврши.
Први пут откривена 2021. године, ова претња користи преко 20.000 уобичајених погрешних конфигурација за инфилтрирање у системе, што представља ризик за милионе уређаја повезаних на Интернет. Поред тога, користи предност ЦВЕ-2023-33426, критичне рањивости са максималном оценом озбиљности од 10 која је закрпљена прошле године у Апацхе РоцкетМК, платформи за размену порука и стриминг која се широко користи на Линук системима.
Преглед садржаја
Перфцтл злонамерни софтвер је опремљен огромним низом злонамерних могућности
Перфцтл је добио име по злонамерној компоненти која тајно рудари криптовалуте. Програмери, чији идентитети остају непознати, комбиновали су назив алата за праћење перформанси Линука 'перф' са 'цтл', уобичајеном скраћеницом у услужним програмима командне линије. Значајна карактеристика Перфцтл-а је његова употреба назива процеса и датотека који су веома слични онима који се обично налазе у Линук окружењима, што му омогућава да избегне откривање од стране погођених корисника.
Да би додатно прикрио своје присуство, Перфцтл користи разне скривене тактике. Међу њима је инсталација многих компоненти као рооткита, специфичне категорије малвера дизајнираних да се сакрије од оперативног система и административних алата. Додатне стратегије избегавања укључују:
- Заустављање активности које се лако могу открити након пријављивања нових корисника
- Коришћење Уник утичнице преко ТОР-а за спољну комуникацију
- Брисање његове инсталационе бинарне датотеке након извршења и затим покретање као позадинска услуга
- Манипулисање Линук процесом пцап_лооп користећи технику познату као хоокинг да спречи административне алате да снимају злонамерни саобраћај
- Сузбијање грешака у порукама да би се избегла видљива упозорења током извршавања.
Перфцтл је пројектован за упорност, омогућавајући му да остане на зараженим машинама чак и након поновног покретања или покушаја да се елиминишу основне компоненте. То постиже техникама као што је модификовање скрипте ~/.профиле, која иницијализује окружење током пријављивања корисника, омогућавајући малверу да се учита пре легитимних серверских процеса. Такође се копира на више локација на диску из меморије. Повезивање пцап_лооп додатно побољшава постојаност дозвољавајући да се небезбедне активности наставе чак и након што су примарни корисни терети откривени и уклоњени.
Поред коришћења системских ресурса за рударење криптовалуте, Перфцтл трансформише заражену машину у прокси за генерисање профита, омогућавајући корисницима који плаћају да пренесу свој интернет саобраћај. Истраживачи сајбер безбедности су такође приметили да малвер функционише као бацкдоор за инсталирање других породица малвера.
Ток напада Перфцтл Малвер Инфецтион
Након што искористи предност рањивости или погрешне конфигурације, код за експлоатацију преузима примарни корисни терет са компромитованог сервера, који је претворен у анонимни канал за дистрибуцију малвера. У испитиваном нападу, корисни терет је назван хттпд. Након извршења, датотека се реплицира из меморије на нову локацију у /темп директоријуму, покреће копирану верзију, прекида оригинални процес и брише преузету бинарну датотеку.
Једном премештена у директоријум /тмп, датотека се извршава под другим именом које опонаша познати Линук процес, посебно назван сх у овом случају. Након тога, успоставља локални процес командовања и контроле (Ц2). Настоји да добије привилегије роот система искоришћавањем ЦВЕ-2021-4043, рањивости ескалације привилегија која је закрпљена 2021. у оквиру Гпац-а, популарног мултимедијалног оквира отвореног кода.
Малвер се затим копира из меморије на неколико других локација на диску, поново користећи имена која личе на рутинске системске датотеке. Такође примењује руткит заједно са скупом често коришћених Линук услужних програма који су измењени да функционишу као рооткит, заједно са компонентом рударења. У неким случајевима, малвер инсталира софтвер за „проки-јацкинг“, што се односи на тајно усмеравање саобраћаја кроз заражену машину, прикривајући право порекло података.
Као део својих Ц2 операција, злонамерни софтвер отвара Уник соцкет, креира два директоријума унутар директоријума /тмп и тамо складишти оперативне податке. Ови подаци укључују догађаје домаћина, локације његових копија, имена процеса, дневнике комуникације, токене и додатне информације о евиденцији. Штавише, користи променљиве окружења за складиштење података који утичу на његово извршење и понашање.
Све бинарне датотеке су спаковане, скинуте и шифроване, показујући чврсту посвећеност избегавању безбедносних мера и компликују напоре обрнутог инжењеринга. Малвер користи напредне тактике избегавања, као што је паузирање својих активности када открије новог корисника у бтмп или утмп датотекама и укидање било ког конкурентног малвера да би одржао доминацију над зараженим системом.
Перфцтл угрожава десетине хиљада уређаја
Анализом података о броју Линук сервера повезаних на Интернет преко различитих сервиса и апликација, истраживачи процењују да је на хиљаде машина заражено Перфцтл-ом. Њихови налази показују да скуп рањивих машина — оних које још нису примениле закрпу за ЦВЕ-2023-33426 или имају погрешне конфигурације — износи милионе. Међутим, истраживачи још нису проценили укупну количину криптовалуте коју су генерисали штетни рудари.
Да би проверили да ли је њихов уређај циљан или заражен од стране Перфцтл-а, корисници треба да потраже идентификоване индикаторе компромиса. Поред тога, требало би да буду опрезни због неуобичајених скокова у коришћењу ЦПУ-а или неочекиваних успоравања система, посебно током периода мировања.
