Perfctl skadlig programvara

En stam av hotfull programvara har infekterat tusentals Linux-baserade system. Det utmärker sig för sitt smygande tillvägagångssätt, det omfattande utbudet av felkonfigurationer som det kan utnyttja och det breda utbudet av skadliga åtgärder den kan utföra.

Detta hot upptäcktes först 2021 och utnyttjar över 20 000 vanliga felkonfigurationer för att infiltrera system, vilket utgör en risk för miljontals internetanslutna enheter. Dessutom drar den fördel av CVE-2023-33426, en kritisk sårbarhet med en maximal allvarlighetsgrad på 10 som patchades förra året i Apache RocketMQ, en meddelande- och strömningsplattform som ofta används på Linux-system.

Perfctl skadlig programvara är utrustad med ett stort antal illvilliga funktioner

Perfctl har fått sitt namn från en skadlig komponent som i hemlighet bryter kryptovaluta. Utvecklarna, vars identiteter fortfarande är okända, kombinerade namnet på Linux-prestandaövervakningsverktyget 'perf' med 'ctl', en vanlig förkortning i kommandoradsverktyg. En anmärkningsvärd egenskap hos Perfctl är dess användning av process- och filnamn som liknar de som vanligtvis finns i Linux-miljöer, vilket gör att den kan undvika upptäckt av berörda användare.

För att ytterligare dölja sin närvaro använder Perfctl olika stealth-taktik. Bland dessa är installationen av många komponenter som rootkits, en specifik kategori av skadlig programvara utformad för att gömma sig från operativsystemet och administrativa verktyg. Ytterligare flyktstrategier inkluderar:

• Stoppar lätt upptäckbara aktiviteter vid nya användarinloggningar
• Använder en Unix-socket över TOR för extern kommunikation
• Raderar dess binära installation efter körning och körs sedan som en bakgrundstjänst
• Manipulera Linux-processen pcap_loop med en teknik som kallas hooking för att förhindra att administrativa verktyg registrerar skadlig trafik
• Undertrycka meddelandefel för att undvika synliga varningar under körning.

Perfctl är konstruerad för uthållighet, så att den kan stanna kvar på infekterade maskiner även efter omstart eller försök att eliminera kärnkomponenter. Den uppnår detta genom tekniker som att modifiera ~/.profile-skriptet, vilket initierar miljön under användarinloggning, vilket gör att skadlig programvara kan laddas före legitima serverprocesser. Den kopierar också sig själv till flera diskplatser från minnet. Tillkopplingen av pcap_loop förbättrar uthålligheten ytterligare genom att tillåta osäkra aktiviteter att fortsätta även efter att primära nyttolaster har upptäckts och tagits bort.

Förutom att använda systemresurser för att bryta kryptovaluta, förvandlar Perfctl den infekterade maskinen till en vinstgenererande proxy, vilket gör att betalande kunder kan vidarebefordra sin internettrafik. Cybersäkerhetsforskare har också noterat att skadlig programvara fungerar som en bakdörr för att installera andra skadliga programfamiljer.

Attack Flow av Perfctl Malware Infektion

Efter att ha utnyttjat en sårbarhet eller felkonfiguration laddar exploateringskoden ned den primära nyttolasten från en intrång i servern, som har förvandlats till en anonym distributionskanal för skadlig programvara. I den undersökta attacken hette nyttolasten httpd. Vid körning replikerar filen sig själv från minnet till en ny plats i /temp-katalogen, kör den kopierade versionen, avslutar den ursprungliga processen och tar bort den nedladdade binära filen.

När den väl har flyttats till /tmp-katalogen körs filen under ett annat namn som efterliknar en känd Linux-process, specifikt benämnd sh i detta fall. Därefter upprättas en lokal Command-and-Control-process (C2). Det strävar efter att få rotsystemprivilegier genom att utnyttja CVE-2021-4043, en sårbarhet för eskalering av rättigheter som korrigerades 2021 inom Gpac, ett populärt multimediaramverk med öppen källkod.

Skadlig programvara kopierar sedan sig själv från minnet till flera andra diskplatser, återigen med namn som liknar rutinsystemfiler. Den distribuerar också ett rootkit tillsammans med en svit av vanliga Linux-verktyg som har ändrats för att fungera som rootkits, tillsammans med gruvkomponenten. I vissa fall installerar den skadliga programvaran programvara för "proxy-jacking", vilket hänvisar till hemlig dirigering av trafik genom den infekterade maskinen, och döljer det verkliga ursprunget för data.

Som en del av dess C2-operationer öppnar skadlig programvara en Unix-socket, skapar två kataloger i /tmp-katalogen och lagrar operativa data där. Dessa data inkluderar värdhändelser, platserna för dess kopior, processnamn, kommunikationsloggar, tokens och ytterligare logginformation. Dessutom använder den miljövariabler för att lagra data som påverkar dess utförande och beteende.

Alla binärfiler är packade, avskalade och krypterade, vilket visar ett gediget engagemang för att undvika säkerhetsåtgärder och komplicera reverse engineering. Skadlig programvara använder avancerade undanflyktstaktik, som att pausa dess aktiviteter när den upptäcker en ny användare i btmp- eller utmp-filerna och avsluta eventuell konkurrerande skadlig programvara för att behålla dominansen över det infekterade systemet.

Perfctl sätter tiotusentals enheter i riskzonen

Genom att analysera data om antalet Linux-servrar som är anslutna till Internet över olika tjänster och applikationer uppskattar forskare att tusentals maskiner är infekterade med Perfctl. Deras resultat tyder på att poolen av sårbara maskiner – de som ännu inte har tillämpat patchen för CVE-2023-33426 eller har felkonfigurationer – uppgår till miljoner. Men forskarna har ännu inte bedömt den totala mängden kryptovaluta som genereras av de sårande gruvarbetarna.

För att kontrollera om deras enhet har blivit målinriktad eller infekterad av Perfctl, bör användare leta efter de identifierade indikatorerna på kompromiss. Dessutom bör de vara vaksamma för ovanliga toppar i CPU-användning eller oväntade systemnedgångar, särskilt under inaktiva perioder.