Ukryte złośliwe oprogramowanie od lat infekuje tysiące systemów Linux

Inne dyskusje obejmują: Reddit, Przepełnienie stosu (Hiszpański), forobeta (Hiszpański), mózg (Rosyjski), sieć nat (Indonezyjski), Proxmox (niemiecki), Wielbłąd2243 (Chiński), svrforum (Koreański), eksabajty, wirtualnymin, błąd serwera i wiele innych.

Po wykorzystaniu luki lub błędnej konfiguracji kod exploita pobiera główny ładunek z serwera, który w większości przypadków został zhakowany przez osobę atakującą i przekształcony w kanał umożliwiający anonimową dystrybucję szkodliwego oprogramowania. Atak, którego celem był Honeypot badaczy, nosił nazwę httpd. Po wykonaniu plik kopiuje się z pamięci do nowej lokalizacji w katalogu /temp, uruchamia go, a następnie kończy pierwotny proces i usuwa pobrany plik binarny.

Po przeniesieniu do katalogu /tmp plik jest wykonywany pod inną nazwą, która naśladuje nazwę znanego procesu w systemie Linux. Plik hostowany w Honeypocie został nazwany sh. Stamtąd plik ustanawia lokalny proces dowodzenia i kontroli i próbuje uzyskać prawa do systemu root, wykorzystując CVE-2021-4043 – lukę w zabezpieczeniach umożliwiającą eskalację uprawnień, załataną w 2021 r. w Gpac – szeroko stosowanej platformie multimedialnej typu open source.

Szkodnik następnie kopiuje się z pamięci do kilku innych lokalizacji na dysku, ponownie używając nazw przypominających zwykłe pliki systemowe. Następnie złośliwe oprogramowanie upuszcza rootkita, zbiór popularnych narzędzi linuksowych, które zostały zmodyfikowane tak, aby pełniły rolę rootkitów, oraz narzędzie górnicze. W niektórych przypadkach złośliwe oprogramowanie instaluje także oprogramowanie służące do „przechwytywania serwerów proxy”, czyli potajemnego kierowania ruchu przez zainfekowaną maszynę, tak aby prawdziwe pochodzenie danych nie zostało ujawnione.

Naukowcy kontynuowali:

W ramach operacji dowodzenia i kontroli szkodliwe oprogramowanie otwiera gniazdo Unix, tworzy dwa katalogi w katalogu /tmp i przechowuje tam dane, które mają wpływ na jego działanie. Dane te obejmują zdarzenia hosta, lokalizacje ich kopii, nazwy procesów, dzienniki komunikacji, tokeny i dodatkowe informacje z dzienników. Ponadto złośliwe oprogramowanie wykorzystuje zmienne środowiskowe do przechowywania danych, co dodatkowo wpływa na jego wykonanie i zachowanie.

Wszystkie pliki binarne są pakowane, usuwane i szyfrowane, co wskazuje na znaczne wysiłki mające na celu ominięcie mechanizmów obronnych i utrudnienie prób inżynierii wstecznej. Szkodnik wykorzystuje również zaawansowane techniki unikania, takie jak zawieszanie swojej aktywności po wykryciu nowego użytkownika w plikach btmp lub utmp oraz niszczenie konkurencyjnego szkodliwego oprogramowania w celu utrzymania kontroli nad zainfekowanym systemem.

Ekstrapolując dane, takie jak liczba serwerów Linux podłączonych do Internetu w różnych usługach i aplikacjach, śledzone przez usługi takie jak Shodan i Censys, badacze szacują, że liczbę maszyn zainfekowanych przez Perfctl mierzy się w tysiącach. Mówią, że pula maszyn podatnych na ataki — czyli tych, które jeszcze nie zainstalowały łatki dla CVE-2023-33426 lub zawierają lukę w błędnej konfiguracji — liczy się w milionach. Badacze nie zmierzyli jeszcze ilości kryptowaluty wygenerowanej przez złośliwych górników.

Osoby, które chcą ustalić, czy ich urządzenie stało się celem lub zostało zainfekowane przez Perfctl, powinny poszukać wskaźników naruszenia bezpieczeństwa zawartych w Czwartkowy post. Powinni także zwracać uwagę na nietypowe skoki użycia procesora lub nagłe spowolnienia systemu, szczególnie jeśli mają one miejsce w okresach bezczynności. Czwartkowy raport zawiera także działania mające na celu przede wszystkim zapobieganie infekcjom.

Ta historia pierwotnie pojawiła się w Ars Technica.