Un malware Linux numit „perfctl” vizează serverele și stațiile de lucru Linux de cel puțin trei ani, rămânând în mare parte nedetectat datorită nivelurilor ridicate de evitare și utilizării rootkit-urilor.
Potrivit cercetătorilor Aqua Nautilus, care au descoperit perfctl, malware-ul probabil a vizat milioane de servere Linux în ultimii ani și a provocat posibil infecții în câteva mii dintre ele.
Aceasta se bazează pe numeroase rapoarte de la victimele malware-ului, trimise pe forumuri de discuții online, toate conținând indicatori de compromis exclusiv asociat cu activitatea perfctl.
Conform Aqua Nautilus, scopul principal al perfctl este de a cripta, folosind serverele compromise pentru a mina criptomoneda Monero, greu de urmărit. Cu toate acestea, ar putea fi ușor folosit pentru operațiuni mai distructive.
Aqua Nautilus crede că actorii amenințării exploatează configurații greșite sau secrete expuse pentru a pătrunde în serverele Linux. Aceste configurații greșite variază de la fișiere accesibile public care conțin acreditări până la interfețe de conectare expuse.
Cercetătorii au observat și exploatarea CVE-2023-33246, o executare de comandă la distanță care afectează versiunile Apache RocketMQ 5.1.0 și mai vechi, și CVE-2021-4034 (PwnKit), o deficiență de creștere a privilegiului în Polkit.
Odată ce accesul inițial este stabilit, încărcătura împachetată și obfuscată, numită „httpd”, este descărcată de pe serverul atacatorului și executată. Apoi, se copiază în directorul /tmp sub numele „sh” și apoi șterge binarul original.
Noul proces își asumă același nume („sh”), amestecându-se practic cu operațiunile normale ale sistemului Linux.
Sunt create copii suplimentare în alte locații de sistem, cum ar fi „/root/.config”, „/usr/bin/” și „usr/lib” pentru a asigura persistența în cazul unei curățări.
Când este lansat, perfctl deschide un socket Unix pentru comunicare internă și stabilește un canal criptat cu serverele actorului amenințării peste TOR, făcând imposibil de descifrat schimbul.
Apoi lasă un rootkit numit ‘libgcwrap.so’ care se conectează la diverse funcții de sistem pentru a modifica mecanismele de autentificare și a intercepta traficul de rețea după cum este necesar pentru a facilita evitarea.
Rootkit-uri de utilizator suplimentare sunt, de asemenea, implementate, înlocuind utilitarele ldd, top, crontab și lsof cu versiuni troianizate, împiedicând din nou detectarea directă a activităților malware-ului.
În cele din urmă, un miner XMRIG este lăsat pe sistem și executat pentru a mina Monero folosind resursele de procesare ale serverului.
Criptominerul comunică cu grupurile miniere setate peste TOR, astfel încât traficul de rețea este obscurizat, iar profiturile nu pot fi urmărite.
În unele cazuri, Aqua Nautilus a văzut și implementarea software-ului de capcană proxy care oferă atacatorilor un drum de monetizare suplimentar, vânzând lățimea de bandă de rețea neutilizată prin Bitping, Repocket, Speedshare și alte servicii similare.
Majoritatea utilizatorilor devin suspicioși că serverele lor sunt infectate după ce observă că CPU-ul este utilizat 100% din cauza mineritului de criptomonede.
Cu toate acestea, malware-ul este extrem de evaziv, efectuând activități de minerit până când un utilizator se autentifică pe server, ceea ce determină oprirea imediată și așteptarea până când serverul este din nou inactiv.
„Am aflat doar despre malware deoarece configurarea mea de monitorizare m-a alertat că utilizarea CPU-ului este de 100%,” a raportat un utilizator pe Reddit.
„Cu toate acestea, procesul se oprea imediat când m-am autentificat prin SSH sau consolă. În momentul în care am ieșit, malware-ul ar relua rularea în câteva secunde sau minute.”
Utilizarea rootkit-urilor face, de asemenea, dificilă eliminarea acestuia, deoarece procesele sunt ascunse de utilitarele de utilizator și de tehnicile normale de eliminare a malware-ului, necesitând în mod obișnuit ca utilizatorii să-l scoată offline sau să booteze printr-un CD live pentru a inspecta sistemul de fișiere.
Cu toate acestea, deoarece infecția modifică și înlocuiește fișierele legitime Linux, cea mai bună sugestie este să ștergeți și să reinstalați dispozitivul pentru a vă asigura că nu rămâne nimic în urmă.
Aqua Nautilus propune mai multe modalități de detectare și oprire a lui perfctl, care se încadrează în patru categorii principale: monitorizarea sistemului, analiza traficului de rețea, monitorizarea integrității fișierelor și proceselor și mitigarea proactivă.
În ceea ce privește detectarea, Aqua Nautilus oferă următoarele sfaturi:
Administratorii de sistem ar trebui să se asigure că toate defectele cunoscute ale aplicațiilor de pe internet, cum ar fi serverele RocketMQ (CVE-2023-33246) și Polkit (CVE-2021-4043), sunt remediate.
De asemenea, ar fi eficient să opriți serviciile HTTP neutilizate, să folosiți controale de acces bazate pe roluri și să aplicați opțiunea ‘noexec’ pentru directoare critice precum ‘/tmp’ și ‘/dev.shm’.
Un nou malware Linux, Hadooken, vizează serverele Oracle WebLogic
Comentariile GitHub sunt abuzate pentru a impinge malware-ul de furt de parole mascate ca soluții
Malware-ul Linux „sedexp” furtiv a evitat detectarea timp de doi ani
„Hackerii FIN7 lansează site-uri cu „generator” deepfake nude pentru a răspândi malware-ul
Actualizările false ale browserului răspândesc malware-ul actualizat WarmCookie
Leave a Reply