Ερευνητές ασφαλείας ανακάλυψαν ένα Linux malware με το όνομα “perfctl”, το οποίο στοχεύει Linux servers και workstations (για cryptomining) για τουλάχιστον τρία χρόνια, μένοντας απαρατήρητο.

Οι ερευνητές της Aqua Nautilus ανακάλυψαν το perfctl και πιστεύουν ότι το κακόβουλο λογισμικό μπορεί να έχει μολύνει χιλιάδες Linux servers, με βάση αναφορές θυμάτων σε διαδικτυακά φόρουμ. Οι αναφορές αυτές περιέχουν δείκτες παραβίασης, που σχετίζονται αποκλειστικά με τη δραστηριότητα perfctl.

Σύμφωνα με την Aqua Nautilus, ο πρωταρχικός σκοπός του perfctl είναι το cryptomining. Χρησιμοποιεί τους παραβιασμένους διακομιστές για την εξόρυξη Monero. Ωστόσο, θα μπορούσε να χρησιμοποιηθεί και για άλλους κακόβουλους σκοπούς.

Δείτε επίσης: Linux malware συμμορία εκμεταλλεύεται το Oracle Weblogic για εξόρυξη κρυπτονομισμάτων

Πώς πραγματοποιείται η επίθεση;

Η Aqua Nautilus πιστεύει ότι οι επιτιθέμενοι εκμεταλλεύονται εσφαλμένες διαμορφώσεις (π.χ. δημόσια προσβάσιμα αρχεία με credentials κλπ) ή εκτεθειμένα μυστικά για να παραβιάσουν τους διακομιστές Linux.

Οι ερευνητές παρατήρησαν επίσης ότι γίνεται εκμετάλλευση της ευπάθειας CVE-2023-33246, που επηρεάζει την 5.1.0 και παλαιότερες εκδόσεις του Apache RocketMQ και επιτρέπει απομακρυσμένη εκτέλεση εντολών. Επίσης, οι hackers εκμεταλλεύονται το CVE-2021-4034 (PwnKit), μια ευπάθεια αύξησης προνομίων στο Polkit.

Μόλις γίνει η αρχική πρόσβαση, το obfuscated payload, που ονομάζεται “httpd“, γίνεται λήψη από τον διακομιστή του εισβολέα και εκτελείται. Στη συνέχεια, αντιγράφεται στον κατάλογο /tmp κάτω από το όνομα “sh” και διαγράφει το αρχικό binary.

Η νέα διαδικασία λαμβάνει το ίδιο όνομα (“sh”), για να κρυφτεί μέσα στις κανονικές λειτουργίες του συστήματος Linux.

Δείτε επίσης: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια

Δημιουργούνται και πρόσθετα αντίγραφα σε άλλες τοποθεσίες συστήματος, όπως “/root/.config”, “/usr/bin/” και “usr/lib” για να διασφαλιστεί το persistence σε περίπτωση εκκαθάρισης.

Κύριοι μηχανισμοί λειτουργίας και διαφυγής

Κατά την εκκίνηση, το Linux malware perfctl ανοίγει ένα Unix socket για εσωτερικές επικοινωνίες και δημιουργεί ένα κρυπτογραφημένο κανάλι με τους διακομιστές του δράστη μέσω TOR.

Στη συνέχεια εγκαθιστά ένα rootkit με το όνομα «libgcwrap.so». Αυτό συνδέεται σε διάφορες λειτουργίες του συστήματος, για να τροποποιήσει τους μηχανισμούς ελέγχου ταυτότητας και να παρέμβει στο network traffic για να αποφύγει τον εντοπισμό.

Έπειτα, αναπτύσσει πρόσθετα userland rootkits, αντικαθιστώντας τα ldd, top, crontab και lsof utilities με trojanized εκδόσεις.

Τέλος, εγκαθίσταται ένα XMRIG miner για το cryptomining, χρησιμοποιώντας τους πόρους CPU του διακομιστή. Το cryptominer επικοινωνεί με τα mining pools μέσω TOR και έτσι το network traffic αποκρύπτεται και τα κέρδη δεν μπορούν να εντοπιστούν.

Οι περισσότεροι χρήστες αντιλαμβάνονται τη μόλυνση, όταν παρατηρήσουν ότι η CPU χρησιμοποιείται στο 100%, λόγω της εξόρυξης κρυπτονομισμάτων. Ωστόσο, το Linux malware perfctl αποφεύγει αποτελεσματικά την ανίχνευση. Εκτελεί τις δραστηριότητες εξόρυξης έως ότου ένας χρήστης συνδεθεί στον διακομιστή. Τότε σταματά αμέσως και ξεκινά ξανά όταν ο διακομιστής μείνει ξανά σε αδράνεια.

Δεδομένου ότι το malware τροποποιεί και αντικαθιστά τα νόμιμα αρχεία Linux, ίσως πρέπει να κάνετε εκκαθάριση και επανεγκατάσταση για να διασφαλίσετε ότι θα διαγραφεί οτιδήποτε κακόβουλο.

Δείτε επίσης: Το Linux malware AcidPour στοχεύει την Ουκρανία

Επιπλέον, η Aqua Nautilus προτείνει διάφορους τρόπους για τον εντοπισμό και τη διακοπή του Linux malware perfctl, οι οποίοι εμπίπτουν σε τέσσερις κύριες κατηγορίες: παρακολούθηση συστήματος, ανάλυση κίνησης δικτύου, παρακολούθηση ακεραιότητας αρχείων και διεργασιών και προληπτικός μετριασμός.

Όσον αφορά την ανίχνευση, η Aqua Nautilus προτείνει τα εξής:

  • Ελέγχετε τακτικά τους καταλόγους /tmp, /usr και /root για ύποπτα binaries που μεταμφιέζονται ως νόμιμα αρχεία συστήματος.
  • Παρακολουθήστε τη χρήση CPU.
  • Εξετάστε τα ~/.profile, ~/.bashrc και /etc/ld.so.preload για μη εξουσιοδοτημένες τροποποιήσεις.
  • Καταγράψτε και αναλύστε το network traffic για συνδέσεις που βασίζονται σε TOR σε εξωτερικές IP.
  • Αναζητήστε εξερχόμενες συνδέσεις σε γνωστά cryptomining pools ή proxy-jacking services.
  • Προσθέστε τις διευθύνσεις IP, που υπάρχουν στην ενότητα IoC της αναφοράς, σε μια λίστα αποκλεισμού.
  • Διορθώστε όλες τις πιθανές ευπάθειες, εφαρμόζοντας ενημερώσεις ασφαλείας.

Προστασία από Linux malware

Η προστασία από Linux malware, όπως το perfctl, περιλαμβάνει πολλές βέλτιστες πρακτικές για τη διασφάλιση της ακεραιότητας και της ασφάλειας του συστήματος. Πρώτα και κύρια, η τακτική ενημέρωση του λειτουργικού συστήματος και του εγκατεστημένου λογισμικού μπορεί να επιδιορθώσει ευπάθειες που ενδέχεται να χρησιμοποιήσει ένα κακόβουλο λογισμικό. Επιπλέον, η χρήση μιας ισχυρής διαμόρφωσης firewall βοηθά στην παρακολούθηση και τον έλεγχο του εισερχόμενου και εξερχόμενου network traffic, παρέχοντας ένα επιπλέον επίπεδο άμυνας.

Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί κατά τη λήψη λογισμικού από μη αξιόπιστες πηγές και να χρησιμοποιούν διαχειριστές πακέτων για την εγκατάσταση εφαρμογών, καθώς αυτά τα εργαλεία συχνά επαληθεύουν την ακεραιότητα του λογισμικού. Η ενσωμάτωση λύσεων προστασίας από ιούς, ειδικά σχεδιασμένες για Linux, μπορεί επίσης να βοηθήσει στον εντοπισμό και τον μετριασμό πιθανών απειλών, διασφαλίζοντας ένα ασφαλέστερο υπολογιστικό περιβάλλον.

Πηγή: www.bleepingcomputer.com