Perfctl Ransomware
Một loại phần mềm đe dọa đã lây nhiễm hàng ngàn hệ thống chạy trên nền tảng Linux. Nó nổi bật với cách tiếp cận lén lút, phạm vi rộng lớn các cấu hình sai mà nó có thể khai thác và nhiều hành động có hại mà nó có thể thực hiện.
Được phát hiện lần đầu tiên vào năm 2021, mối đe dọa này lợi dụng hơn 20.000 cấu hình sai thường gặp để xâm nhập vào hệ thống, gây rủi ro cho hàng triệu thiết bị được kết nối Internet. Ngoài ra, nó còn lợi dụng CVE-2023-33426, một lỗ hổng nghiêm trọng có điểm nghiêm trọng tối đa là 10 đã được vá vào năm ngoái trong Apache RocketMQ, một nền tảng nhắn tin và phát trực tuyến được sử dụng rộng rãi trên các hệ thống Linux.
Mục lục
Phần mềm độc hại Perfctl được trang bị một loạt các khả năng độc hại
Perfctl lấy tên từ một thành phần độc hại bí mật khai thác tiền điện tử. Các nhà phát triển, danh tính vẫn chưa được biết, đã kết hợp tên của công cụ giám sát hiệu suất Linux 'perf' với 'ctl', một từ viết tắt phổ biến trong các tiện ích dòng lệnh. Một tính năng đáng chú ý của Perfctl là việc sử dụng tên quy trình và tệp rất giống với những tên thường thấy trong môi trường Linux, cho phép nó tránh bị người dùng bị ảnh hưởng phát hiện.
Để che giấu sự hiện diện của mình hơn nữa, Perfctl sử dụng nhiều chiến thuật ẩn khác nhau. Trong số đó có việc cài đặt nhiều thành phần như rootkit, một loại phần mềm độc hại cụ thể được thiết kế để ẩn khỏi hệ điều hành và các công cụ quản trị. Các chiến lược trốn tránh bổ sung bao gồm:
- Dừng các hoạt động dễ bị phát hiện khi người dùng mới đăng nhập
- Sử dụng socket Unix qua TOR để giao tiếp bên ngoài
- Xóa tệp nhị phân cài đặt sau khi thực thi và sau đó chạy như một dịch vụ nền
- Thao tác quy trình Linux pcap_loop bằng một kỹ thuật được gọi là hooking để ngăn các công cụ quản trị ghi lại lưu lượng truy cập độc hại
- Loại bỏ lỗi tin nhắn để tránh cảnh báo hiển thị trong quá trình thực thi.
Perfctl được thiết kế để duy trì tính bền bỉ, cho phép nó vẫn ở trên các máy bị nhiễm ngay cả sau khi khởi động lại hoặc cố gắng loại bỏ các thành phần cốt lõi. Nó đạt được điều này thông qua các kỹ thuật như sửa đổi tập lệnh ~/.profile, khởi tạo môi trường trong quá trình người dùng đăng nhập, cho phép phần mềm độc hại tải trước các quy trình máy chủ hợp lệ. Nó cũng tự sao chép vào nhiều vị trí đĩa từ bộ nhớ. Việc móc pcap_loop tăng cường tính bền bỉ hơn nữa bằng cách cho phép các hoạt động không an toàn tiếp tục ngay cả sau khi các tải trọng chính đã được phát hiện và xóa.
Ngoài việc sử dụng tài nguyên hệ thống để khai thác tiền điện tử, Perfctl còn biến máy bị nhiễm thành proxy tạo ra lợi nhuận, cho phép khách hàng trả tiền chuyển tiếp lưu lượng truy cập internet của họ. Các nhà nghiên cứu an ninh mạng cũng lưu ý rằng phần mềm độc hại này hoạt động như một cửa hậu để cài đặt các họ phần mềm độc hại khác.
Luồng tấn công của nhiễm phần mềm độc hại Perfctl
Sau khi lợi dụng lỗ hổng hoặc cấu hình sai, mã khai thác tải xuống tải trọng chính từ máy chủ bị xâm phạm, đã trở thành kênh phân phối ẩn danh cho phần mềm độc hại. Trong cuộc tấn công được kiểm tra, tải trọng được đặt tên là httpd. Khi thực thi, tệp tự sao chép từ bộ nhớ đến một vị trí mới trong thư mục /temp, chạy phiên bản đã sao chép, chấm dứt quy trình gốc và xóa tệp nhị phân đã tải xuống.
Sau khi được di chuyển đến thư mục /tmp, tệp sẽ thực thi dưới một tên khác mô phỏng một quy trình Linux đã biết, cụ thể là tên sh trong trường hợp này. Sau đó, nó thiết lập một quy trình Command-and-Control (C2) cục bộ. Nó tìm cách giành được các đặc quyền hệ thống gốc bằng cách khai thác CVE-2021-4043, một lỗ hổng leo thang đặc quyền đã được vá vào năm 2021 trong Gpac, một khuôn khổ đa phương tiện nguồn mở phổ biến.
Sau đó, phần mềm độc hại tự sao chép từ bộ nhớ đến một số vị trí đĩa khác, một lần nữa sử dụng tên giống với các tệp hệ thống thông thường. Nó cũng triển khai một rootkit cùng với một bộ tiện ích Linux thường dùng đã được thay đổi để hoạt động như rootkit, cùng với thành phần khai thác. Trong một số trường hợp, phần mềm độc hại cài đặt phần mềm để "proxy-jacking", ám chỉ việc định tuyến lưu lượng truy cập bí mật qua máy bị nhiễm, che giấu nguồn gốc thực sự của dữ liệu.
Là một phần của hoạt động C2, phần mềm độc hại mở một socket Unix, tạo hai thư mục trong thư mục /tmp và lưu trữ dữ liệu hoạt động ở đó. Dữ liệu này bao gồm các sự kiện máy chủ, vị trí của các bản sao, tên quy trình, nhật ký giao tiếp, mã thông báo và thông tin nhật ký bổ sung. Hơn nữa, nó sử dụng các biến môi trường để lưu trữ dữ liệu ảnh hưởng đến việc thực thi và hành vi của nó.
Tất cả các tệp nhị phân đều được đóng gói, tách và mã hóa, thể hiện cam kết chắc chắn trong việc trốn tránh các biện pháp bảo mật và làm phức tạp các nỗ lực kỹ thuật đảo ngược. Phần mềm độc hại sử dụng các chiến thuật trốn tránh nâng cao, chẳng hạn như tạm dừng hoạt động khi phát hiện người dùng mới trong các tệp btmp hoặc utmp và chấm dứt bất kỳ phần mềm độc hại cạnh tranh nào để duy trì sự thống trị đối với hệ thống bị nhiễm.
Perfctl Đặt Hàng Mươi Ngàn Thiết Bị Vào Tình Trạng Nguy Hiểm
Bằng cách phân tích dữ liệu về số lượng máy chủ Linux được kết nối với Internet trên nhiều dịch vụ và ứng dụng khác nhau, các nhà nghiên cứu ước tính rằng hàng nghìn máy bị nhiễm Perfctl. Phát hiện của họ chỉ ra rằng nhóm máy dễ bị tấn công—những máy chưa áp dụng bản vá cho CVE-2023-33426 hoặc có cấu hình sai—lên tới hàng triệu. Tuy nhiên, các nhà nghiên cứu vẫn chưa đánh giá tổng số tiền điện tử do những kẻ khai thác có hại tạo ra.
Để kiểm tra xem thiết bị của họ có bị Perfctl nhắm mục tiêu hay bị nhiễm hay không, người dùng nên tìm kiếm các chỉ số xâm phạm đã xác định. Ngoài ra, họ nên cảnh giác với các đột biến bất thường trong việc sử dụng CPU hoặc hệ thống chậm lại bất ngờ, đặc biệt là trong thời gian nhàn rỗi.
