Otkriven je sofisticirani i neuhvatljivi maliciozni softver poznat kao “Perfctl” koji cilja milione Linux servera širom svijeta.
Istraživači iz Aqua Nautilus-a rasvijetlili su ovaj maliciozni softver, koji aktivno iskorištava preko 20.000 vrsta pogrešnih konfiguracija na Linux serverima u posljednje 3-4 godine.
Maliciozni softver Perfctl je posebno uporan i koristi nekoliko naprednih tehnika kako bi izbjegao otkrivanje i održao kontrolu nad zaraženim sistemima.
Koristi rootkite da sakrije svoje prisustvo, zaustavlja sve “bučne” aktivnosti kada se novi korisnik prijavi na server i komunicira interno koristeći Unix sokete i eksterno preko TOR-a.
Ključne karakteristike Perfctl Malware-a
- Tehnike izbjegavanja : Perfctl briše svoju binarnu datoteku nakon izvršenja i nastavlja da radi tiho u pozadini kao usluga. Kopira se iz memorije na različite lokacije na disku, koristeći lažna imena kako bi se uklopila u tipične sistemske procese.
- Mehanizmi postojanosti : Maliciozni softver modifikuje
~/.profile
skriptu kako bi osigurao da se izvršava nakon prijave korisnika i održava kontrolu nad sistemom ukidanjem konkurentskog malicioznog softvera. - Eksploatacija : Perfctl pokušava da iskoristi ranjivost Polkit (CVE-2021-4043) za eskalaciju privilegija.
- Cryptomining : Primarni uticaj napada je otmica resursa, pri čemu maliciozni softver izvršava Monero kriptomajner (XMRIG) kako bi iscrpio CPU resurse servera.
- Proxy-Jacking : U nekim slučajevima, maliciozni softver se koristi za izvršavanje softvera za proxy jacking, omogućavajući napadačima da zarade novac dijeljenjem neiskorištenog internet propusnog opsega.
Da bi otkrili Perfctl malware, korisnici bi trebali potražiti neobične skokove u korištenju CPU-a, usporavanje sistema i sumnjive binarne datoteke u direktorijima /tmp
, /usr
, i /root
.
Nadgledanje mrežnog saobraćaja za komunikaciju zasnovanu na TOR-u i odlazne veze sa skupovima kriptomininga ili uslugama proxy-jackinga je takođe ključno, stoji u izveštaju .
Strategije ublažavanja uključuju zakrpe ranjivosti, ograničavanje izvršavanja datoteka u direktorijima za pisanje, onemogućavanje nekorištenih usluga, implementaciju strogog upravljanja privilegijama i implementaciju alata za zaštitu tokom izvršavanja koji mogu otkriti rootkite i malver bez datoteka.
S obzirom na razmjere napada, procjenjuje se da bi milioni Linux servera mogli biti ugroženi, s hiljadama potencijalno već ugroženih.
Sposobnost malicioznog softvera da cilja širok spektar pogrešnih konfiguracija čini ga značajnom prijetnjom svakom Linux serveru povezanom na internet.
Malware Perfctl predstavlja značajnu prijetnju Linux serverima širom svijeta, naglašavajući potrebu za snažnim sigurnosnim mjerama i budnim nadzorom.
Korisnici se mogu zaštititi od ove neuhvatljive i uporne prijetnje razumijevanjem njenih taktika i poduzimanjem proaktivnih koraka za osiguranje sistema.
Izvor: CyberSecurityNews