Το malware Perfctl κυκλοφορεί ανενόχλητο από το 2021, έχει μολύνει χιλιάδες συστήματα Linux, παραμένει στο λειτουργικό ακόμα και μετά από επανεκκίνηση και εκτελεί ένα εύρος κακόβουλων δραστηριοτήτων.
Το κακόβουλο λογισμικό Perfctl έχει ήδη εγκατασταθεί σε χιλιάδες μηχανήματα που εκτελούν Linux και για να τρυπώσει εκμεταλλεύεται πολλές κοινές εσφαλμένες διαμορφώσεις του λειτουργικού. Το όνομά του είναι συνδυασμός των εργαλείων παρακολούθησης perf Linux και ctl, μια συντομογραφία που χρησιμοποιείται συνήθως με τα εργαλεία γραμμής εντολών.
Ένα χαρακτηριστικό του Perfctl είναι η χρήση ονομάτων διεργασιών και αρχείων που είναι πανομοιότυπα ή παρόμοια με εκείνα που βρίσκονται συνήθως σε περιβάλλοντα Linux. Η χρήση κοντινών ονομασιών είναι ένας από τους πολλούς τρόπους με τους οποίους το κακόβουλο λογισμικό προσπαθεί να διαφύγει την προσοχή των antivirus προγραμμάτων.
Το Perfctl καλύπτεται περαιτέρω χρησιμοποιώντας μια σειρά από άλλα κόλπα. Το ένα είναι ότι εγκαθιστά πολλά από τα στοιχεία του ως rootkits, μια ειδική κατηγορία κακόβουλου λογισμικού που κρύβει την παρουσία του από το λειτουργικό σύστημα και τα εργαλεία διαχείρισης.
Άλλοι μηχανισμοί που χρησιμοποιεί για να κρυφτεί είναι:
- Διακοπή δραστηριοτήτων που είναι εύκολο να εντοπιστούν όταν ένας νέος χρήστης συνδέεται
- Χρήση Unix socket μέσω TOR για εξωτερικές επικοινωνίες
- Διαγραφή του δυαδικού αρχείου εγκατάστασής του μετά την αρχική εκτέλεση του και στη συνέχεια εκτέλεση ως υπηρεσία παρασκηνίου
- Χειρισμός της διαδικασίας Linux pcap_loop μέσω μιας τεχνικής γνωστής ως hooking για την αποτροπή εργαλείων διαχειριστή από την καταγραφή της κακόβουλης κυκλοφορίας
- Καταστολή σφαλμάτων μηνυμάτων για αποφυγή ορατών προειδοποιήσεων κατά την εκτέλεση.
Τι κάνει το Perfctl μόλις εγκατασταθεί:
- Χρησιμοποιεί τους πόρους του μηχανήματός σας για εξόρυξη κρυπτονομισμάτων
- Μετατρέπει το μηχάνημα σε διακομιστή μεσολάβησης που χρησιμοποιούν όσοι πληρώνουν για να αυξήσουν ψευδώς την κυκλοφορία τους στο διαδίκτυο.
- Χρησιμοποιείται ως backdoor για την εγκατάσταση άλλων οικογενειών κακόβουλου λογισμικού.
Ο Assaf Morag, διευθυντής της Aqua Security, έγραψε σε ένα άρθρο του:
Το κακόβουλο λογισμικό Perfctl ξεχωρίζει ως σημαντική απειλή λόγω του σχεδιασμού του, ο οποίος του επιτρέπει να αποφεύγει τον εντοπισμό, διατηρώντας παράλληλα την επιμονή στα μολυσμένα συστήματα. Αυτός ο συνδυασμός αποτελεί πρόκληση για τους υπερασπιστές και πράγματι το κακόβουλο λογισμικό έχει συνδεθεί με έναν αυξανόμενο αριθμό αναφορών και συζητήσεων σε διάφορα φόρουμ, υπογραμμίζοντας την αγωνία και την απογοήτευση των χρηστών που βρίσκουν τον εαυτό τους μολυσμένο.
Το Perfctl χρησιμοποιεί ένα rootkit και αλλάζει ορισμένα από τα βοηθητικά προγράμματα του συστήματος για να κρύψει τη δραστηριότητα του λογισμικού cryptominer και proxy-jacking. Συνδυάζεται άψογα στο περιβάλλον του με φαινομενικά νόμιμα ονόματα. Επιπλέον, η αρχιτεκτονική του Perfctl του επιτρέπει να εκτελεί μια σειρά από κακόβουλες δραστηριότητες, από την εξαγωγή δεδομένων έως την ανάπτυξη πρόσθετων ωφέλιμων φορτίων. Η ευελιξία του σημαίνει ότι μπορεί να αξιοποιηθεί για διάφορους κακόβουλους σκοπούς, καθιστώντας το ιδιαίτερα επικίνδυνο τόσο για οργανισμούς όσο και για άτομα.
Παρακάτω είναι η πλήρης ροή επίθεσης:
Οι χρήστες Linux που θέλουν να δουν εάν η συσκευή τους έχει στοχοποιηθεί ή έχει μολυνθεί από το Perfctl θα πρέπει να ερευνήσουν για ασυνήθιστες αιχμές στη χρήση της CPU ή ξαφνικές επιβραδύνσεις του συστήματος, ιδιαίτερα εάν συμβαίνουν σε περιόδους αδράνειας.
Η παρακολούθηση ύποπτης συμπεριφοράς του συστήματος σας έγκειται στα:
Επιθεωρήστε τους καταλόγους /tmp, /usr, και /root για ύποπτα δυαδικά αρχεία, ειδικά κρυμμένα ή μεταμφιεσμένα ως αρχεία συστήματος (π.χ. , perfctl, sh, libpprocps.so, perfcc, libfsnkdev.so). Επιθεωρήστε τον κατάλογό σας /home, αναζητήστε στο κατάλογο /.local/bin για εγκατεστημένα διάφορα βοηθητικά προγράμματα όπως ldd, top κ.λ.π.
Παρακολουθήστε τις διαδικασίες για υψηλή χρήση πόρων, όπως τα δυαδικά αρχεία httpd ή sh ή για ασυνήθιστη συμπεριφορά ή για εκτέλεση από απροσδόκητες τοποθεσίες όπως /tmp.
Ελέγξτε τα αρχεία καταγραφής συστήματος για τροποποιήσεις σε ~/.profile και /etc/ld.so.preload αρχεία.
Καταγράψτε την κίνηση του δικτύου για να εντοπίσετε επικοινωνία που βασίζεται σε TOR σε εξωτερικές IP, όπως 80.67.172.162, 176.10.107.180 κ.λ.π.
Αναζητήστε εξερχόμενες συνδέσεις σε pools cryptomining ή υπηρεσίες proxy-jacking.
Παρακολούθηση της κυκλοφορίας σε γνωστούς κακόβουλους κεντρικούς υπολογιστές ή IP (π.χ. 46.101.139.173, 104.183.100.189, και 198.211.126.180).
Εντοπίστε τροποποιήσεις σε βασικά βοηθητικά προγράμματα συστήματος όπως ldd, top, lsof και crontab, τα οποία μπορεί να έχουν αντικατασταθεί με trojanized εκδόσεις.
Ελέγξτε τα αρχεία καταγραφής για μη εξουσιοδοτημένη χρήση δυαδικών αρχείων συστήματος, παρουσία ύποπτων εργασιών cron και σφάλματα για mesg τον εντοπισμό πιθανής παραβίασης.