Multi-License Discount Quote
Banta sa Database Malware Perfctl Malware

Perfctl Malware

Sa pamamagitan ng Mezo sa Malware
Isalin To:
Wikang Filipino

Ang isang strain ng nagbabantang software ay nahawahan ang libu-libong mga sistemang nakabatay sa Linux. Namumukod-tangi ito para sa palihim nitong diskarte, ang malawak na hanay ng mga maling pagsasaayos na maaari nitong pagsamantalahan, at ang malawak na hanay ng mga nakakapinsalang aksyon na maaari nitong isagawa.

Unang na-detect noong 2021, ang banta na ito ay gumagamit ng higit sa 20,000 karaniwang nakikitang maling pagsasaayos para makalusot sa mga system, na nagdudulot ng panganib sa milyun-milyong device na nakakonekta sa Internet. Bukod pa rito, sinasamantala nito ang CVE-2023-33426, isang kritikal na kahinaan na may pinakamataas na marka ng kalubhaan na 10 na na-patch noong nakaraang taon sa Apache RocketMQ, isang platform ng pagmemensahe at streaming na malawakang ginagamit sa mga Linux system.

Ang Perfctl Malware ay Nilagyan ng Malaking Array ng Mga Kakayahang Mapahamak

Nakuha ng Perfctl ang pangalan nito mula sa isang malisyosong sangkap na lihim na mina ng cryptocurrency. Ang mga developer, na ang mga pagkakakilanlan ay nananatiling hindi kilala, ay pinagsama ang pangalan ng Linux performance monitoring tool 'perf' sa 'ctl,' isang karaniwang pagdadaglat sa command-line utilities. Ang isang kapansin-pansing tampok ng Perfctl ay ang paggamit nito ng mga pangalan ng proseso at file na halos kapareho ng mga karaniwang matatagpuan sa mga kapaligiran ng Linux, na nagbibigay-daan dito upang maiwasan ang pagtuklas ng mga apektadong user.

Upang higit pang itago ang presensya nito, gumagamit ang Perfctl ng iba't ibang taktika sa pagnanakaw. Kabilang sa mga ito ay ang pag-install ng maraming bahagi bilang rootkit, isang partikular na kategorya ng malware na idinisenyo upang itago mula sa operating system at mga tool na pang-administratibo. Ang mga karagdagang diskarte sa pag-iwas ay kinabibilangan ng:

  • Ang paghinto ng madaling matukoy na aktibidad sa mga bagong login ng user
  • Paggamit ng Unix socket sa TOR para sa panlabas na komunikasyon
  • Ang pagtanggal ng binary sa pag-install nito pagkatapos ng pagpapatupad at pagkatapos ay tatakbo bilang isang serbisyo sa background
  • Pagmamanipula sa proseso ng Linux pcap_loop gamit ang isang pamamaraan na kilala bilang hooking upang pigilan ang mga tool na pang-administratibo mula sa pagtatala ng malisyosong trapiko
  • Pinipigilan ang mga error sa mesg upang maiwasan ang mga nakikitang alerto sa panahon ng pagpapatupad.

Ang Perfctl ay inengineered para sa pagtitiyaga, na nagbibigay-daan dito na manatili sa mga infected na makina kahit na pagkatapos ng pag-reboot o pagtatangka na alisin ang mga pangunahing bahagi. Nakakamit ito sa pamamagitan ng mga diskarte gaya ng pagbabago sa ~/.profile script, na nagpapasimula sa kapaligiran sa panahon ng pag-log in ng user, na nagbibigay-daan sa malware na mag-load bago ang mga lehitimong proseso ng server. Kinokopya din nito ang sarili nito sa maraming lokasyon ng disk mula sa memorya. Ang hooking ng pcap_loop ay higit na nagpapahusay sa pagtitiyaga sa pamamagitan ng pagpapahintulot sa mga hindi ligtas na aktibidad na magpatuloy kahit na matapos ang mga pangunahing payload ay natukoy at naalis.

Bilang karagdagan sa paggamit ng mga mapagkukunan ng system sa pagmimina ng cryptocurrency, ginagawa ng Perfctl ang infected na makina sa isang proxy na kumikita, na nagpapahintulot sa mga nagbabayad na customer na ihatid ang kanilang trapiko sa internet. Napansin din ng mga mananaliksik sa cybersecurity na gumagana ang malware bilang backdoor para sa pag-install ng iba pang mga pamilya ng malware.

Daloy ng Pag-atake ng Perfctl Malware Infection

Pagkatapos samantalahin ang isang kahinaan o maling configuration, dina-download ng exploit code ang pangunahing payload mula sa isang nakompromisong server, na ginawang anonymous na channel ng pamamahagi para sa malware. Sa sinuri na pag-atake, ang payload ay pinangalanang httpd. Kapag naisakatuparan, kinokopya ng file ang sarili nito mula sa memorya patungo sa isang bagong lokasyon sa direktoryo ng /temp, pinapatakbo ang kinopyang bersyon, tinatapos ang orihinal na proseso, at tinatanggal ang na-download na binary.

Sa sandaling lumipat sa direktoryo ng /tmp, ang file ay ipapatupad sa ilalim ng ibang pangalan na ginagaya ang isang kilalang proseso ng Linux, partikular na pinangalanang sh sa kasong ito. Kasunod nito, nagtatatag ito ng lokal na proseso ng Command-and-Control (C2). Nilalayon nitong makakuha ng mga pribilehiyo ng root system sa pamamagitan ng pagsasamantala sa CVE-2021-4043, isang kahinaan sa pagdami ng pribilehiyo na na-patch noong 2021 sa loob ng Gpac, isang sikat na open-source multimedia framework.

Pagkatapos ay kinokopya ng malware ang sarili nito mula sa memorya patungo sa ilang iba pang mga lokasyon ng disk, muli gamit ang mga pangalan na katulad ng mga nakagawiang file ng system. Nag-deploy din ito ng rootkit kasama ang isang suite ng mga karaniwang ginagamit na Linux utilities na binago upang gumana bilang mga rootkit, kasama ang bahagi ng pagmimina. Sa ilang pagkakataon, nag-i-install ang malware ng software para sa "proxy-jacking," na tumutukoy sa patagong pagruruta ng trapiko sa pamamagitan ng infected na makina, na itinatago ang tunay na pinagmulan ng data.

Bilang bahagi ng C2 operations nito, nagbubukas ang malware ng Unix socket, gumagawa ng dalawang direktoryo sa loob ng /tmp directory, at nag-iimbak ng operational data doon. Kasama sa data na ito ang mga kaganapan sa host, ang mga lokasyon ng mga kopya nito, mga pangalan ng proseso, mga log ng komunikasyon, mga token, at karagdagang impormasyon sa log. Higit pa rito, gumagamit ito ng mga variable ng kapaligiran upang mag-imbak ng data na nakakaimpluwensya sa pagpapatupad at pag-uugali nito.

Ang lahat ng mga binary ay naka-pack, hinubaran, at naka-encrypt, na nagpapakita ng matatag na pangako sa pag-iwas sa mga hakbang sa seguridad at pagpapakumplikado sa reverse engineering. Gumagamit ang malware ng mga advanced na taktika sa pag-iwas, gaya ng pag-pause sa mga aktibidad nito kapag may nakita itong bagong user sa btmp o utmp file at pagwawakas ng anumang nakikipagkumpitensyang malware upang mapanatili ang pangingibabaw sa nahawaang system.

Inilalagay ng Perfctl sa Panganib ang Sampu-sampung Libo ng Mga Device

Sa pamamagitan ng pagsusuri ng data sa bilang ng mga server ng Linux na nakakonekta sa Internet sa iba't ibang serbisyo at aplikasyon, tinatantya ng mga mananaliksik na libu-libong makina ang nahawaan ng Perfctl. Isinasaad ng kanilang mga natuklasan na ang grupo ng mga mahihinang makina—yaong hindi pa nalalapat ang patch para sa CVE-2023-33426 o may mga maling pagsasaayos—ay umaabot sa milyun-milyon. Gayunpaman, hindi pa natatasa ng mga mananaliksik ang kabuuang halaga ng cryptocurrency na nabuo ng masasakit na mga minero.

Upang tingnan kung ang kanilang device ay na-target o nahawahan ng Perfctl, dapat hanapin ng mga user ang mga natukoy na tagapagpahiwatig ng kompromiso. Bukod pa rito, dapat silang maging mapagbantay para sa hindi pangkaraniwang mga spike sa paggamit ng CPU o hindi inaasahang paghina ng system, lalo na sa mga panahong walang ginagawa.

Trending

Pinaka Nanood

Naglo-load...