Ένα κακόβουλο λογισμικό Linux με το όνομα “perfctl” στοχεύει διακομιστές και σταθμούς εργασίας Linux για τουλάχιστον τρία χρόνια, παραμένοντας σε μεγάλο βαθμό απαρατήρητο λόγω υψηλών επιπέδων φοροδιαφυγής και χρήσης rootkit.
Σύμφωνα με ερευνητές του Aqua Nautilus που ανακάλυψαν το perfctl, το κακόβουλο λογισμικό πιθανότατα στόχευε εκατομμύρια διακομιστές Linux τα τελευταία χρόνια και πιθανώς προκάλεσε μολύνσεις σε αρκετές χιλιάδες από αυτούς.
Αυτό βασίζεται σε πολυάριθμες αναφορές από θύματα του κακόβουλου λογισμικού υποβλήθηκε να διαδικτυακά φόρουμ συζήτησηςόλα περιέχουν δείκτες συμβιβασμού που σχετίζονται αποκλειστικά με τη δραστηριότητα perfctl.
Σύμφωνα με Aqua Nautilusο πρωταρχικός σκοπός του perfctl είναι η εξόρυξη κρυπτονομισμάτων, χρησιμοποιώντας τους παραβιασμένους διακομιστές για την εξόρυξη του δύσκολα ανιχνεύσιμου κρυπτονομίσματος Monero. Ωστόσο, θα μπορούσε εύκολα να χρησιμοποιηθεί για πιο επιβλαβείς λειτουργίες.
Αλυσίδα μόλυνσης
Το Aqua Nautilus πιστεύει ότι οι παράγοντες απειλών εκμεταλλεύονται εσφαλμένες διαμορφώσεις ή εκτεθειμένα μυστικά για να παραβιάσουν τους διακομιστές Linux. Αυτές οι εσφαλμένες διαμορφώσεις κυμαίνονται από δημόσια προσβάσιμα αρχεία που περιέχουν διαπιστευτήρια έως εκτεθειμένες διεπαφές σύνδεσης.
Πηγή: Aqua Nautilus
Οι ερευνητές παρατήρησαν επίσης την εκμετάλλευση του CVE-2023-33246, μιας απομακρυσμένης εκτέλεσης εντολών που επηρεάζει τις εκδόσεις 5.1.0 και παλαιότερες του Apache RocketMQ, και το CVE-2021-4034 (PwnKit), ένα ελάττωμα προνομίου στο Polkit.
Μόλις αποκατασταθεί η αρχική πρόσβαση, το συσκευασμένο και ασαφές ωφέλιμο φορτίο, που ονομάζεται “httpd”, γίνεται λήψη από τον διακομιστή του εισβολέα και εκτελείται. Στη συνέχεια, αντιγράφεται στον κατάλογο /tmp κάτω από το όνομα “sh” και στη συνέχεια διαγράφει το αρχικό δυαδικό αρχείο.
Η νέα διαδικασία λαμβάνει το ίδιο όνομα (“sh”), ουσιαστικά σε συνδυασμό με τις κανονικές λειτουργίες του συστήματος Linux.
Δημιουργούνται πρόσθετα αντίγραφα σε άλλες τοποθεσίες συστήματος, όπως “/root/.config”, “/usr/bin/” και “usr/lib” για να διασφαλιστεί η επιμονή σε περίπτωση εκκαθάρισης.
Πηγή: Aqua Nautilus
Κύριοι μηχανισμοί λειτουργίας και διαφυγής
Κατά την εκκίνηση, το perfctl ανοίγει μια υποδοχή Unix για εσωτερικές επικοινωνίες και δημιουργεί ένα κρυπτογραφημένο κανάλι με τους διακομιστές του δράστη απειλής μέσω TOR, καθιστώντας αδύνατη την αποκρυπτογράφηση της ανταλλαγής.
Στη συνέχεια ρίχνει ένα rootkit με το όνομα «libgcwrap.so» το οποίο συνδέεται σε διάφορες λειτουργίες του συστήματος για να τροποποιήσει τους μηχανισμούς ελέγχου ταυτότητας και να υποκλέψει την κυκλοφορία του δικτύου όπως απαιτείται για να διευκολύνει την αποφυγή.
Αναπτύσσονται επίσης πρόσθετα rootkits userland, αντικαθιστώντας τα βοηθητικά προγράμματα ldd, top, crontab και lsof με trojanized εκδόσεις, και πάλι, αποτρέποντας τον άμεσο εντοπισμό των δραστηριοτήτων του κακόβουλου λογισμικού.
Τέλος, ένα XMRIG miner πέφτει στο σύστημα και εκτελείται για εξόρυξη Monero χρησιμοποιώντας τους πόρους CPU του διακομιστή.
Πηγή: Aqua Nautilus
Το cryptominer επικοινωνεί με τις ρυθμισμένες δεξαμενές εξόρυξης μέσω TOR, έτσι η κίνηση του δικτύου αποκρύπτεται και τα κέρδη δεν μπορούν να εντοπιστούν.
Σε ορισμένες περιπτώσεις, το Aqua Nautilus έχει δει επίσης την ανάπτυξη λογισμικού υποδοχής μεσολάβησης που δίνει στους εισβολείς μια πρόσθετη διαδρομή δημιουργίας εσόδων, πουλώντας αχρησιμοποίητο εύρος ζώνης δικτύου μέσω Bitping, Repocket, Speedshare και άλλων παρόμοιων υπηρεσιών.
Οι περισσότεροι χρήστες υποψιάζονται ότι οι διακομιστές τους έχουν μολυνθεί αφού παρατηρήσουν ότι η CPU χρησιμοποιείται στο 100% λόγω της εξόρυξης κρυπτονομισμάτων.
Ωστόσο, το κακόβουλο λογισμικό είναι εξαιρετικά διαφυγόν, εκτελώντας τις δραστηριότητες εξόρυξης έως ότου ένας χρήστης συνδεθεί στον διακομιστή, κάτι που αναγκάζει να σταματήσει αμέσως και να περιμένει έως ότου ο διακομιστής παραμείνει ξανά σε αδράνεια.
“Έμαθα το κακόβουλο λογισμικό μόνο επειδή η ρύθμιση παρακολούθησης με ειδοποίησε για 100% χρήση της CPU”, ανέφερε ένας χρήστης στο Reddit.
“Ωστόσο, η διαδικασία θα σταματούσε αμέσως όταν συνδεόμουν μέσω SSH ή κονσόλας. Μόλις αποσυνδεθώ, το κακόβουλο λογισμικό θα συνεχίσει να λειτουργεί μέσα σε λίγα δευτερόλεπτα ή λεπτά.”
Η χρήση rootkit καθιστά επίσης δύσκολη την κατάργησή τους, καθώς οι διεργασίες είναι κρυμμένες από βοηθητικά προγράμματα του userland και κανονικές τεχνικές αφαίρεσης κακόβουλου λογισμικού, απαιτώντας συνήθως από τους χρήστες να το βγάλουν εκτός σύνδεσης ή να εκκινήσουν μέσω ζωντανού CD για να επιθεωρήσουν το σύστημα αρχείων.
Ωστόσο, καθώς η μόλυνση τροποποιεί και αντικαθιστά τα νόμιμα αρχεία Linux, η καλύτερη πρόταση είναι να σκουπίσετε και να εγκαταστήσετε ξανά τη συσκευή για να διασφαλίσετε ότι δεν θα μείνει τίποτα πίσω.
Ανίχνευση και διακοπή τέλειας
Το Aqua Nautilus προτείνει διάφορους τρόπους για τον εντοπισμό και τη διακοπή του perfctl, οι οποίοι εμπίπτουν σε τέσσερις κύριες κατηγορίες: παρακολούθηση συστήματος, ανάλυση κίνησης δικτύου, παρακολούθηση ακεραιότητας αρχείων και διεργασιών και προληπτικός μετριασμός.
Όσον αφορά την ανίχνευση, οι ακόλουθες συμβουλές παρέχονται από το Aqua Nautilus:
- Ελέγχετε τακτικά τους καταλόγους /tmp, /usr και /root για ύποπτα δυαδικά αρχεία που μεταμφιέζονται ως νόμιμα αρχεία συστήματος.
- Παρακολουθήστε τη χρήση της CPU για αιχμές και διεργασίες όπως httpd και sh που εκτελούνται από απροσδόκητες τοποθεσίες.
- Εξετάστε τα ~/.profile, ~/.bashrc και /etc/ld.so.preload για μη εξουσιοδοτημένες τροποποιήσεις.
- Καταγράψτε και αναλύστε την κίνηση δικτύου για συνδέσεις που βασίζονται σε TOR σε εξωτερικές IP.
- Αναζητήστε εξερχόμενες συνδέσεις σε γνωστές δεξαμενές εξόρυξης κρυπτογράφησης ή υπηρεσίες εξόρυξης μεσολάβησης.
- Προσθέστε τις διευθύνσεις IP που κοινοποιούνται στην ενότητα IoC της αναφοράς σε μια λίστα αποκλεισμού για να διακόψετε την επικοινωνία με κακόβουλους κεντρικούς υπολογιστές.
Οι διαχειριστές συστήματος θα πρέπει να διασφαλίσουν ότι όλα τα γνωστά ελαττώματα σε εφαρμογές που αντιμετωπίζουν το διαδίκτυο, όπως οι διακομιστές RocketMQ (CVE-2023-33246) και το Polkit (CVE-2021-4043) έχουν επιδιορθωθεί.
Επίσης, θα ήταν αποτελεσματικό να απενεργοποιήσετε τις αχρησιμοποίητες υπηρεσίες HTTP, να χρησιμοποιήσετε στοιχεία ελέγχου πρόσβασης βάσει ρόλων και να εφαρμόσετε την επιλογή «noexec» σε κρίσιμους καταλόγους όπως «/tmp» και «/dev.shm».
VIA: bleepingcomputer.com
