Perfctl மால்வேர்

அச்சுறுத்தும் மென்பொருளின் திரிபு ஆயிரக்கணக்கான லினக்ஸ் அடிப்படையிலான கணினிகளை பாதித்துள்ளது. இது அதன் திருட்டுத்தனமான அணுகுமுறை, அது சுரண்டக்கூடிய தவறான உள்ளமைவுகளின் விரிவான வரம்பு மற்றும் அது செயல்படுத்தக்கூடிய தீங்கு விளைவிக்கும் செயல்களின் பரந்த வரிசை ஆகியவற்றிற்காக தனித்து நிற்கிறது.

2021 இல் முதன்முதலில் கண்டறியப்பட்டது, இந்த அச்சுறுத்தல் 20,000 க்கும் அதிகமான தவறான உள்ளமைவுகளை அமைப்புகளில் ஊடுருவி, மில்லியன் கணக்கான இணையத்துடன் இணைக்கப்பட்ட சாதனங்களுக்கு ஆபத்தை ஏற்படுத்துகிறது. கூடுதலாக, இது CVE-2023-33426 ஐப் பயன்படுத்திக் கொள்கிறது, இது அதிகபட்ச தீவிரத்தன்மை மதிப்பெண் 10 உடன் கடந்த ஆண்டு லினக்ஸ் கணினிகளில் பரவலாகப் பயன்படுத்தப்படும் செய்தியிடல் மற்றும் ஸ்ட்ரீமிங் தளமான Apache RocketMQ இல் இணைக்கப்பட்டது.

Perfctl மால்வேர் தீங்கிழைக்கும் திறன்களின் பரந்த வரிசையுடன் பொருத்தப்பட்டுள்ளது

Perfctl மறைமுகமாக கிரிப்டோகரன்சியை சுரங்கப்படுத்தும் ஒரு தீங்கிழைக்கும் கூறுகளிலிருந்து அதன் பெயரைப் பெற்றது. டெவலப்பர்கள், யாருடைய அடையாளங்கள் தெரியவில்லை, Linux செயல்திறன் கண்காணிப்பு கருவியின் பெயரை 'perf' உடன் 'ctl' உடன் இணைத்தனர், இது கட்டளை வரி பயன்பாடுகளில் பொதுவான சுருக்கமாகும். Perfctl இன் குறிப்பிடத்தக்க அம்சம், செயல்முறை மற்றும் கோப்பு பெயர்களைப் பயன்படுத்துவதாகும், இது பொதுவாக லினக்ஸ் சூழல்களில் காணப்படுவதை ஒத்திருக்கிறது, இது பாதிக்கப்பட்ட பயனர்களால் கண்டறியப்படுவதைத் தவிர்க்க அனுமதிக்கிறது.

அதன் இருப்பை மேலும் மறைக்க, Perfctl பல்வேறு திருட்டுத்தனமான தந்திரங்களைப் பயன்படுத்துகிறது. இவற்றில் ரூட்கிட்கள் என பல கூறுகளை நிறுவுவதும், இயக்க முறைமை மற்றும் நிர்வாகக் கருவிகளில் இருந்து மறைக்க வடிவமைக்கப்பட்ட ஒரு குறிப்பிட்ட வகை தீம்பொருள் ஆகும். கூடுதல் ஏய்ப்பு உத்திகள் பின்வருமாறு:

• புதிய பயனர் உள்நுழைவுகளில் எளிதில் கண்டறியக்கூடிய செயல்பாடுகளை நிறுத்துதல்
• வெளிப்புற தொடர்புக்கு TOR மீது Unix சாக்கெட்டைப் பயன்படுத்துதல்
• செயல்பாட்டிற்குப் பிறகு அதன் நிறுவல் பைனரியை நீக்குதல் மற்றும் பின்புல சேவையாக இயங்கும்
• நிர்வாகக் கருவிகள் தீங்கிழைக்கும் போக்குவரத்தைப் பதிவு செய்வதைத் தடுக்க ஹூக்கிங் எனப்படும் நுட்பத்தைப் பயன்படுத்தி லினக்ஸ் செயல்முறை pcap_loop ஐக் கையாளுதல்
• செயல்பாட்டின் போது தெரியும் விழிப்பூட்டல்களைத் தவிர்க்க மெஸ்க் பிழைகளை அடக்குதல்.

Perfctl ஆனது ரீபூட் செய்த பிறகும் அல்லது முக்கிய கூறுகளை அகற்ற முயற்சித்த பிறகும் பாதிக்கப்பட்ட கணினிகளில் தொடர்ந்து இருக்க அனுமதிக்கிறது. ~/.profile ஸ்கிரிப்டை மாற்றியமைப்பது போன்ற நுட்பங்கள் மூலம் இதை அடைகிறது, இது பயனர் உள்நுழைவின் போது சூழலை துவக்குகிறது, முறையான சர்வர் செயல்முறைகளுக்கு முன் தீம்பொருளை ஏற்றுவதற்கு உதவுகிறது. இது நினைவகத்திலிருந்து பல வட்டு இடங்களுக்கு தன்னை நகலெடுக்கிறது. pcap_loop இன் ஹூக்கிங், முதன்மை பேலோடுகள் கண்டறியப்பட்டு அகற்றப்பட்ட பிறகும் பாதுகாப்பற்ற செயல்பாடுகளைத் தொடர அனுமதிப்பதன் மூலம் நிலைத்தன்மையை மேலும் மேம்படுத்துகிறது.

கிரிப்டோகரன்சியை அகற்ற கணினி வளங்களைப் பயன்படுத்துவதோடு, Perfctl பாதிக்கப்பட்ட இயந்திரத்தை லாபம் ஈட்டும் ப்ராக்ஸியாக மாற்றுகிறது, பணம் செலுத்தும் வாடிக்கையாளர்களுக்கு அவர்களின் இணைய போக்குவரத்தை ரிலே செய்ய அனுமதிக்கிறது. மற்ற தீம்பொருள் குடும்பங்களை நிறுவுவதற்கான பின்கதவாக மால்வேர் செயல்படுவதாக சைபர் பாதுகாப்பு ஆய்வாளர்கள் குறிப்பிட்டுள்ளனர்.

Perfctl மால்வேர் நோய்த்தொற்றின் தாக்குதல் ஓட்டம்

பாதிப்பு அல்லது தவறான உள்ளமைவைப் பயன்படுத்திக் கொண்ட பிறகு, சுரண்டல் குறியீடு சமரசம் செய்யப்பட்ட சேவையகத்திலிருந்து முதன்மை பேலோடைப் பதிவிறக்குகிறது, இது தீம்பொருளுக்கான அநாமதேய விநியோக சேனலாக மாற்றப்பட்டுள்ளது. ஆய்வு செய்யப்பட்ட தாக்குதலில், பேலோடுக்கு httpd என்று பெயரிடப்பட்டது. செயல்படுத்தப்பட்டவுடன், கோப்பு நினைவகத்திலிருந்து / temp கோப்பகத்தில் ஒரு புதிய இடத்திற்கு தன்னைப் பிரதிபலிக்கிறது, நகலெடுக்கப்பட்ட பதிப்பை இயக்குகிறது, அசல் செயல்முறையை நிறுத்துகிறது மற்றும் பதிவிறக்கப்பட்ட பைனரியை நீக்குகிறது.

/tmp கோப்பகத்திற்கு மாற்றப்பட்டதும், அறியப்பட்ட லினக்ஸ் செயல்முறையைப் பிரதிபலிக்கும் வேறு பெயரில் கோப்பு இயங்குகிறது, குறிப்பாக இந்த வழக்கில் sh என்று பெயரிடப்பட்டது. பின்னர், இது உள்ளூர் கட்டளை மற்றும் கட்டுப்பாடு (C2) செயல்முறையை நிறுவுகிறது. இது CVE-2021-4043 ஐப் பயன்படுத்தி ரூட் சிஸ்டம் சலுகைகளைப் பெற முயல்கிறது, இது ஒரு பிரபலமான திறந்த மூல மல்டிமீடியா கட்டமைப்பான Gpac க்குள் 2021 இல் இணைக்கப்பட்டது.

தீம்பொருள் பின்னர் நினைவகத்திலிருந்து பல வட்டு இருப்பிடங்களுக்கு நகலெடுக்கிறது, வழக்கமான கணினி கோப்புகளை ஒத்த பெயர்களைப் பயன்படுத்துகிறது. இது ரூட்கிட் மற்றும் சுரங்க கூறுகளுடன் இணைந்து ரூட்கிட்களாக செயல்பட மாற்றப்பட்ட, பொதுவாக பயன்படுத்தப்படும் லினக்ஸ் பயன்பாடுகளின் தொகுப்புடன் ஒரு ரூட்கிட்டையும் பயன்படுத்துகிறது. சில சந்தர்ப்பங்களில், தீம்பொருள் "ப்ராக்ஸி-ஜாக்கிங்" க்கான மென்பொருளை நிறுவுகிறது, இது தரவுகளின் உண்மையான தோற்றத்தை மறைத்து, பாதிக்கப்பட்ட இயந்திரத்தின் மூலம் போக்குவரத்தின் இரகசிய வழியைக் குறிக்கிறது.

அதன் C2 செயல்பாடுகளின் ஒரு பகுதியாக, தீம்பொருள் Unix சாக்கெட்டைத் திறந்து, /tmp கோப்பகத்தில் இரண்டு கோப்பகங்களை உருவாக்கி, செயல்பாட்டுத் தரவை அங்கே சேமிக்கிறது. இந்தத் தரவில் ஹோஸ்ட் நிகழ்வுகள், அதன் நகல்களின் இருப்பிடங்கள், செயல்முறைப் பெயர்கள், தகவல் தொடர்புப் பதிவுகள், டோக்கன்கள் மற்றும் கூடுதல் பதிவுத் தகவல் ஆகியவை அடங்கும். மேலும், அதன் செயலாக்கம் மற்றும் நடத்தையை பாதிக்கும் தரவைச் சேமிக்க சூழல் மாறிகளைப் பயன்படுத்துகிறது.

அனைத்து பைனரிகளும் நிரம்பியுள்ளன, அகற்றப்பட்டு, மறைகுறியாக்கப்பட்டன, இது பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதற்கும் தலைகீழ் பொறியியல் முயற்சிகளை சிக்கலாக்குவதற்கும் உறுதியான உறுதிப்பாட்டை வெளிப்படுத்துகிறது. btmp அல்லது utmp கோப்புகளில் ஒரு புதிய பயனரைக் கண்டறியும் போது அதன் செயல்பாடுகளை இடைநிறுத்துவது மற்றும் பாதிக்கப்பட்ட கணினியில் ஆதிக்கத்தை தக்கவைக்க போட்டியிடும் தீம்பொருளை நிறுத்துவது போன்ற மேம்பட்ட ஏய்ப்பு உத்திகளை தீம்பொருள் பயன்படுத்துகிறது.

Perfctl பல்லாயிரக்கணக்கான சாதனங்களை ஆபத்தில் வைக்கிறது

பல்வேறு சேவைகள் மற்றும் பயன்பாடுகளில் இணையத்துடன் இணைக்கப்பட்டுள்ள லினக்ஸ் சேவையகங்களின் எண்ணிக்கையின் தரவை பகுப்பாய்வு செய்வதன் மூலம், ஆயிரக்கணக்கான இயந்திரங்கள் Perfctl நோயால் பாதிக்கப்பட்டுள்ளதாக ஆராய்ச்சியாளர்கள் மதிப்பிடுகின்றனர். CVE-2023-33426க்கான பேட்சை இதுவரை பயன்படுத்தாத அல்லது தவறான உள்ளமைவுகளைக் கொண்ட, பாதிக்கப்படக்கூடிய இயந்திரங்களின் தொகுப்பு மில்லியன் கணக்கானது என்று அவர்களின் கண்டுபிடிப்புகள் குறிப்பிடுகின்றன. இருப்பினும், புண்படுத்தும் சுரங்கத் தொழிலாளர்களால் உருவாக்கப்பட்ட கிரிப்டோகரன்சியின் மொத்த அளவை ஆராய்ச்சியாளர்கள் இன்னும் மதிப்பிடவில்லை.

தங்கள் சாதனம் Perfctl ஆல் இலக்கு வைக்கப்பட்டதா அல்லது பாதிக்கப்பட்டதா என்பதைச் சரிபார்க்க, பயனர்கள் சமரசத்தின் அடையாளம் காணப்பட்ட குறிகாட்டிகளைத் தேட வேண்டும். கூடுதலாக, CPU பயன்பாட்டில் அசாதாரண கூர்முனை அல்லது எதிர்பாராத கணினி மந்தநிலைகள், குறிப்பாக செயலற்ற காலங்களில் அவர்கள் விழிப்புடன் இருக்க வேண்டும்.