Perfctl మాల్వేర్

బెదిరింపు సాఫ్ట్‌వేర్ యొక్క జాతి వేలాది Linux-ఆధారిత సిస్టమ్‌లను సోకింది. ఇది దాని రహస్య విధానం, విస్తృతమైన తప్పు కాన్ఫిగరేషన్‌లను ఉపయోగించుకోగలదు మరియు అది నిర్వహించగల హానికరమైన చర్యల యొక్క విస్తృత శ్రేణికి ప్రత్యేకంగా నిలుస్తుంది.

2021లో మొదటిసారిగా గుర్తించబడిన ఈ ముప్పు 20,000కి పైగా సాధారణంగా కనుగొనబడిన సిస్టమ్‌లలోకి చొరబడటానికి తప్పుగా కాన్ఫిగరేషన్‌లను ప్రభావితం చేస్తుంది, దీని వలన మిలియన్ల కొద్దీ ఇంటర్నెట్-కనెక్ట్ చేయబడిన పరికరాలకు ప్రమాదం ఉంది. అదనంగా, ఇది లైనక్స్ సిస్టమ్‌లలో విస్తృతంగా ఉపయోగించే మెసేజింగ్ మరియు స్ట్రీమింగ్ ప్లాట్‌ఫారమ్ అయిన Apache RocketMQలో గత సంవత్సరం ప్యాచ్ చేయబడిన CVE-2023-33426, గరిష్ట తీవ్రత స్కోర్ 10తో క్లిష్టమైన దుర్బలత్వం యొక్క ప్రయోజనాన్ని పొందుతుంది.

Perfctl మాల్వేర్ విస్తారమైన హానికర సామర్థ్యాలతో అమర్చబడింది

క్రిప్టోకరెన్సీని రహస్యంగా గనులు చేసే హానికరమైన భాగం నుండి Perfctl దాని పేరును పొందింది. డెవలపర్‌లు, ఎవరి గుర్తింపులు తెలియవు, Linux పనితీరు పర్యవేక్షణ సాధనం 'perf' పేరును 'ctl'తో కలిపారు, ఇది కమాండ్-లైన్ యుటిలిటీస్‌లో సాధారణ సంక్షిప్తీకరణ. Perfctl యొక్క గుర్తించదగిన లక్షణం ఏమిటంటే, Linux పరిసరాలలో సాధారణంగా కనిపించే వాటిని పోలి ఉండే ప్రక్రియ మరియు ఫైల్ పేర్లను ఉపయోగించడం, ఇది ప్రభావితమైన వినియోగదారుల గుర్తింపును తప్పించుకోవడానికి అనుమతిస్తుంది.

దాని ఉనికిని మరింతగా దాచడానికి, Perfctl వివిధ స్టెల్త్ వ్యూహాలను ఉపయోగిస్తుంది. వీటిలో రూట్‌కిట్‌లుగా అనేక భాగాలను ఇన్‌స్టాల్ చేయడం, ఆపరేటింగ్ సిస్టమ్ మరియు అడ్మినిస్ట్రేటివ్ టూల్స్ నుండి దాచడానికి రూపొందించబడిన మాల్వేర్ యొక్క నిర్దిష్ట వర్గం. అదనపు ఎగవేత వ్యూహాలు:

• కొత్త వినియోగదారు లాగిన్‌లపై సులభంగా గుర్తించదగిన కార్యకలాపాలను ఆపడం
• బాహ్య కమ్యూనికేషన్ కోసం TORపై Unix సాకెట్‌ని ఉపయోగించడం
• అమలు తర్వాత దాని ఇన్‌స్టాలేషన్ బైనరీని తొలగిస్తుంది మరియు తదనంతరం నేపథ్య సేవగా అమలు చేయబడుతుంది
• హానికరమైన ట్రాఫిక్‌ను రికార్డ్ చేయకుండా అడ్మినిస్ట్రేటివ్ సాధనాలను నిరోధించడానికి హుకింగ్ అని పిలువబడే సాంకేతికతను ఉపయోగించి Linux ప్రాసెస్ pcap_loopని మార్చడం
• అమలు సమయంలో కనిపించే హెచ్చరికలను నివారించడానికి mesg ఎర్రర్‌లను అణిచివేస్తోంది.

Perfctl నిలకడ కోసం రూపొందించబడింది, ఇది రీబూట్ చేసిన తర్వాత లేదా కోర్ భాగాలను తొలగించడానికి ప్రయత్నించిన తర్వాత కూడా సోకిన మెషీన్‌లలో ఉండటానికి అనుమతిస్తుంది. ఇది ~/.ప్రొఫైల్ స్క్రిప్ట్‌ను సవరించడం వంటి పద్ధతుల ద్వారా దీనిని సాధిస్తుంది, ఇది వినియోగదారు లాగిన్ సమయంలో పర్యావరణాన్ని ప్రారంభిస్తుంది, చట్టబద్ధమైన సర్వర్ ప్రక్రియలకు ముందు మాల్వేర్‌ను లోడ్ చేయడానికి వీలు కల్పిస్తుంది. ఇది మెమరీ నుండి బహుళ డిస్క్ స్థానాలకు కూడా కాపీ చేస్తుంది. pcap_loop యొక్క హుకింగ్ ప్రైమరీ పేలోడ్‌లను గుర్తించి, తీసివేయబడిన తర్వాత కూడా అసురక్షిత కార్యకలాపాలను కొనసాగించడానికి అనుమతించడం ద్వారా పట్టుదలను మరింత పెంచుతుంది.

క్రిప్టోకరెన్సీని తవ్వడానికి సిస్టమ్ వనరులను ఉపయోగించడంతో పాటు, Perfctl సోకిన మెషీన్‌ను లాభం-ఉత్పత్తి ప్రాక్సీగా మారుస్తుంది, చెల్లింపు కస్టమర్‌లు వారి ఇంటర్నెట్ ట్రాఫిక్‌ను ప్రసారం చేయడానికి అనుమతిస్తుంది. ఇతర మాల్వేర్ కుటుంబాలను ఇన్‌స్టాల్ చేయడానికి మాల్వేర్ బ్యాక్‌డోర్‌గా పనిచేస్తుందని సైబర్‌ సెక్యూరిటీ పరిశోధకులు గుర్తించారు.

Perfctl మాల్వేర్ ఇన్ఫెక్షన్ యొక్క అటాక్ ఫ్లో

దుర్బలత్వం లేదా తప్పు కాన్ఫిగరేషన్ యొక్క ప్రయోజనాన్ని పొందిన తర్వాత, దోపిడీ కోడ్ రాజీపడిన సర్వర్ నుండి ప్రాథమిక పేలోడ్‌ను డౌన్‌లోడ్ చేస్తుంది, ఇది మాల్వేర్ కోసం అనామక పంపిణీ ఛానెల్‌గా మార్చబడింది. పరిశీలించిన దాడిలో, పేలోడ్‌కు httpd అని పేరు పెట్టారు. అమలు చేసిన తర్వాత, ఫైల్ మెమరీ నుండి /temp డైరెక్టరీలో కొత్త స్థానానికి పునరావృతమవుతుంది, కాపీ చేయబడిన సంస్కరణను అమలు చేస్తుంది, అసలు ప్రక్రియను ముగించి, డౌన్‌లోడ్ చేయబడిన బైనరీని తొలగిస్తుంది.

/tmp డైరెక్టరీకి మార్చబడిన తర్వాత, ఫైల్ తెలిసిన Linux ప్రక్రియను అనుకరించే వేరే పేరుతో అమలు చేయబడుతుంది, ఈ సందర్భంలో ప్రత్యేకంగా sh అని పేరు పెట్టబడింది. తదనంతరం, ఇది స్థానిక కమాండ్-అండ్-కంట్రోల్ (C2) ప్రక్రియను ఏర్పాటు చేస్తుంది. ఇది CVE-2021-4043ని ఉపయోగించడం ద్వారా రూట్ సిస్టమ్ అధికారాలను పొందేందుకు ప్రయత్నిస్తుంది, ఇది ఒక ప్రముఖ ఓపెన్ సోర్స్ మల్టీమీడియా ఫ్రేమ్‌వర్క్ అయిన Gpacలో 2021లో ప్యాచ్ చేయబడింది.

మాల్వేర్ రొటీన్ సిస్టమ్ ఫైల్‌లను పోలి ఉండే పేర్లను ఉపయోగించి, మెమరీ నుండి అనేక ఇతర డిస్క్ స్థానాలకు కాపీ చేస్తుంది. ఇది మైనింగ్ కాంపోనెంట్‌తో పాటు రూట్‌కిట్‌లుగా పనిచేసేలా మార్చబడిన సాధారణంగా ఉపయోగించే Linux యుటిలిటీల సూట్‌తో పాటు రూట్‌కిట్‌ను కూడా అమలు చేస్తుంది. కొన్ని సందర్భాల్లో, మాల్వేర్ "ప్రాక్సీ-జాకింగ్" కోసం సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేస్తుంది, ఇది సోకిన మెషీన్ ద్వారా ట్రాఫిక్ యొక్క రహస్య రూటింగ్‌ను సూచిస్తుంది, డేటా యొక్క నిజమైన మూలాన్ని దాచిపెడుతుంది.

దాని C2 కార్యకలాపాలలో భాగంగా, మాల్వేర్ Unix సాకెట్‌ను తెరుస్తుంది, /tmp డైరెక్టరీలో రెండు డైరెక్టరీలను సృష్టిస్తుంది మరియు అక్కడ కార్యాచరణ డేటాను నిల్వ చేస్తుంది. ఈ డేటాలో హోస్ట్ ఈవెంట్‌లు, దాని కాపీల స్థానాలు, ప్రాసెస్ పేర్లు, కమ్యూనికేషన్ లాగ్‌లు, టోకెన్‌లు మరియు అదనపు లాగ్ సమాచారం ఉంటాయి. ఇంకా, ఇది దాని అమలు మరియు ప్రవర్తనను ప్రభావితం చేసే డేటాను నిల్వ చేయడానికి ఎన్విరాన్మెంట్ వేరియబుల్స్‌ను ఉపయోగిస్తుంది.

అన్ని బైనరీలు ప్యాక్ చేయబడ్డాయి, తొలగించబడ్డాయి మరియు ఎన్‌క్రిప్ట్ చేయబడ్డాయి, భద్రతా చర్యల నుండి తప్పించుకోవడానికి మరియు రివర్స్ ఇంజనీరింగ్ ప్రయత్నాలను క్లిష్టతరం చేయడానికి గట్టి నిబద్ధతను ప్రదర్శిస్తాయి. మాల్వేర్ btmp లేదా utmp ఫైల్‌లలో కొత్త వినియోగదారుని గుర్తించినప్పుడు దాని కార్యకలాపాలను పాజ్ చేయడం మరియు సోకిన సిస్టమ్‌పై ఆధిపత్యాన్ని కొనసాగించడానికి ఏదైనా పోటీ మాల్వేర్‌ను ముగించడం వంటి అధునాతన ఎగవేత వ్యూహాలను ఉపయోగిస్తుంది.

Perfctl పదివేల పరికరాలను ప్రమాదంలో ఉంచుతుంది

వివిధ సేవలు మరియు అప్లికేషన్‌లలో ఇంటర్నెట్‌కు కనెక్ట్ చేయబడిన Linux సర్వర్‌ల సంఖ్యపై డేటాను విశ్లేషించడం ద్వారా, వేలాది యంత్రాలు Perfctl బారిన పడ్డాయని పరిశోధకులు అంచనా వేస్తున్నారు. CVE-2023-33426 కోసం ఇంకా ప్యాచ్‌ను వర్తింపజేయని లేదా తప్పుగా కాన్ఫిగరేషన్‌లను కలిగి ఉన్న హాని కలిగించే యంత్రాల పూల్ మిలియన్ల వరకు ఉంటుందని వారి పరిశోధనలు సూచిస్తున్నాయి. అయినప్పటికీ, హానికరమైన మైనర్లు ఉత్పత్తి చేసిన మొత్తం క్రిప్టోకరెన్సీని పరిశోధకులు ఇంకా అంచనా వేయలేదు.

వారి పరికరం Perfctl ద్వారా లక్ష్యం చేయబడిందా లేదా సోకినట్లు తనిఖీ చేయడానికి, వినియోగదారులు గుర్తించబడిన రాజీ సూచికల కోసం వెతకాలి. అదనంగా, CPU వినియోగంలో అసాధారణమైన స్పైక్‌లు లేదా ఊహించని సిస్టమ్ స్లోడౌన్‌ల కోసం వారు అప్రమత్తంగా ఉండాలి, ముఖ్యంగా నిష్క్రియ సమయాల్లో.