Perfctl Kötü Amaçlı Yazılım
Tehdit edici bir yazılım türü binlerce Linux tabanlı sistemi etkiledi. Gizli yaklaşımı, istismar edebileceği kapsamlı yanlış yapılandırma yelpazesi ve gerçekleştirebileceği geniş yelpazedeki zararlı eylemlerle öne çıkıyor.
İlk olarak 2021'de tespit edilen bu tehdit, sistemlere sızmak için yaygın olarak bulunan 20.000'den fazla yanlış yapılandırmayı kullanarak milyonlarca İnternet bağlantılı cihaz için risk oluşturuyor. Ayrıca, Linux sistemlerinde yaygın olarak kullanılan bir mesajlaşma ve yayın platformu olan Apache RocketMQ'da geçen yıl yamalanan, maksimum ciddiyet puanı 10 olan kritik bir güvenlik açığı olan CVE-2023-33426'dan yararlanıyor.
İçindekiler
Perfctl Kötü Amaçlı Yazılımı Çok Çeşitli Kötü Amaçlı Yeteneklerle Donatılmıştır
Perfctl, adını gizlice kripto para madenciliği yapan kötü amaçlı bir bileşenden alır. Kimlikleri bilinmeyen geliştiriciler, Linux performans izleme aracının adını 'perf' ile komut satırı yardımcı programlarında yaygın bir kısaltma olan 'ctl'yi birleştirdi. Perfctl'nin dikkat çekici bir özelliği, etkilenen kullanıcılar tarafından tespit edilmesini önleyen, Linux ortamlarında tipik olarak bulunanlara çok benzeyen işlem ve dosya adları kullanmasıdır.
Varlığını daha da gizlemek için Perfctl çeşitli gizli taktikler kullanır. Bunlar arasında, işletim sisteminden ve yönetim araçlarından gizlenmek üzere tasarlanmış belirli bir kötü amaçlı yazılım kategorisi olan kök kitler olarak birçok bileşenin kurulumu yer alır. Ek kaçınma stratejileri şunları içerir:
- Yeni kullanıcı oturum açmaları sırasında kolayca tespit edilebilen etkinliklerin durdurulması
- Harici iletişim için TOR üzerinden bir Unix soketi kullanma
- Çalıştırma sonrasında kurulum ikili dosyasını silerek ve daha sonra arka plan hizmeti olarak çalıştırarak
- Yönetim araçlarının kötü amaçlı trafiği kaydetmesini önlemek için kancalama olarak bilinen bir teknik kullanarak Linux işlemi pcap_loop'u manipüle etme
- Yürütme sırasında görünür uyarıların önlenmesi için meg hatalarının bastırılması.
Perfctl, yeniden başlatmalar veya çekirdek bileşenleri ortadan kaldırma girişimlerinden sonra bile enfekte olmuş makinelerde kalmasına izin veren kalıcılık için tasarlanmıştır. Bunu, kullanıcı oturum açma sırasında ortamı başlatan ve kötü amaçlı yazılımın meşru sunucu işlemlerinden önce yüklenmesini sağlayan ~/.profile betiğini değiştirme gibi tekniklerle başarır. Ayrıca kendisini bellekten birden fazla disk konumuna kopyalar. pcap_loop'un bağlanması, birincil yükler algılanıp kaldırıldıktan sonra bile güvenli olmayan etkinliklerin devam etmesine izin vererek kalıcılığı daha da artırır.
Perfctl, kripto para madenciliği için sistem kaynaklarını kullanmanın yanı sıra, enfekte olmuş makineyi kâr getiren bir proxy'ye dönüştürerek, ödeme yapan müşterilerin internet trafiğini iletmelerine olanak tanır. Siber güvenlik araştırmacıları ayrıca kötü amaçlı yazılımın diğer kötü amaçlı yazılım ailelerini yüklemek için bir arka kapı işlevi gördüğünü de belirtti.
Perfctl Kötü Amaçlı Yazılım Enfeksiyonunun Saldırı Akışı
Bir güvenlik açığından veya yanlış yapılandırmadan yararlandıktan sonra, istismar kodu birincil yükü, kötü amaçlı yazılım için anonim bir dağıtım kanalına dönüştürülmüş, tehlikeye atılmış bir sunucudan indirir. İncelenen saldırıda, yük httpd olarak adlandırıldı. Yürütme sırasında, dosya kendisini bellekten /temp dizinindeki yeni bir konuma kopyalar, kopyalanan sürümü çalıştırır, orijinal işlemi sonlandırır ve indirilen ikili dosyayı siler.
/tmp dizinine taşındığında, dosya bilinen bir Linux işlemini taklit eden farklı bir ad altında yürütülür, bu durumda özellikle sh olarak adlandırılır. Daha sonra, yerel bir Komuta ve Kontrol (C2) işlemi kurar. Popüler bir açık kaynaklı multimedya çerçevesi olan Gpac içinde 2021'de yamalanan bir ayrıcalık yükseltme güvenlik açığı olan CVE-2021-4043'ü kullanarak kök sistem ayrıcalıkları elde etmeye çalışır.
Kötü amaçlı yazılım daha sonra kendisini bellekten birkaç başka disk konumuna kopyalar ve bir kez daha rutin sistem dosyalarına benzeyen adlar kullanır. Ayrıca, yaygın olarak kullanılan Linux yardımcı programlarının bir takımıyla birlikte bir kök araç takımı ve madencilik bileşenini de dağıtır. Bazı durumlarda, kötü amaçlı yazılım, verilerin gerçek kaynağını gizleyerek, enfekte olmuş makine üzerinden trafiğin gizlice yönlendirilmesini ifade eden "proxy-jacking" için yazılım yükler.
C2 operasyonlarının bir parçası olarak, kötü amaçlı yazılım bir Unix soketi açar, /tmp dizini içinde iki dizin oluşturur ve operasyonel verileri orada depolar. Bu veriler ana bilgisayar olaylarını, kopyalarının konumlarını, işlem adlarını, iletişim günlüklerini, belirteçleri ve ek günlük bilgilerini içerir. Dahası, yürütülmesini ve davranışını etkileyen verileri depolamak için ortam değişkenlerini kullanır.
Tüm ikili dosyalar paketlenir, soyulur ve şifrelenir, bu da güvenlik önlemlerinden kaçınma ve tersine mühendislik çabalarını karmaşıklaştırma konusunda sağlam bir bağlılık gösterir. Kötü amaçlı yazılım, btmp veya utmp dosyalarında yeni bir kullanıcı algıladığında faaliyetlerini duraklatma ve enfekte olmuş sistem üzerindeki hakimiyetini sürdürmek için herhangi bir rakip kötü amaçlı yazılımı sonlandırma gibi gelişmiş kaçınma taktikleri kullanır.
Perfctl On Binlerce Cihazı Riske Atıyor
Araştırmacılar, çeşitli hizmetler ve uygulamalar genelinde İnternet'e bağlı Linux sunucularının sayısıyla ilgili verileri analiz ederek binlerce makinenin Perfctl ile enfekte olduğunu tahmin ediyor. Bulguları, savunmasız makine havuzunun (CVE-2023-33426 için yamayı henüz uygulamamış veya yanlış yapılandırmalara sahip olanlar) milyonlarca olduğunu gösteriyor. Ancak araştırmacılar, zararlı madenciler tarafından üretilen toplam kripto para miktarını henüz değerlendirmediler.
Cihazlarının Perfctl tarafından hedef alınıp alınmadığını veya enfekte edilip edilmediğini kontrol etmek için kullanıcılar, belirlenen tehlike göstergelerini aramalıdır. Ayrıca, özellikle boşta kalma dönemlerinde CPU kullanımında alışılmadık artışlara veya beklenmeyen sistem yavaşlamalarına karşı dikkatli olmalıdırlar.
