Gestern Abend haben die Sicherheitsforscher Aqua Security einen ausführlichen Artikel über die Perfctl-Malware veröffentlicht. Sie warnen Benutzer vor seinen Fähigkeiten, die große Diskretion mit hartnäckiger Beharrlichkeit verbinden. Die Erkennung ist nicht gesichert und Forscher schätzen, dass die Zahl der anfälligen Konfigurationen in die Millionen geht.
Der von den Forschern angegebene Name der Malware ist eine Kombination aus Perf, einem Leistungsanalysetool, und ctl, einer gebräuchlichen Abkürzung für Befehlszeilentools. Laut Aqua Security ist diese Malware seit mindestens 2021 im Umlauf und auf mindestens mehreren tausend Konfigurationen, hauptsächlich Servern, vorhanden.
Ein König der Flucht und Beharrlichkeit
Perfctl verfügt über viele Funktionen. Sobald es auf einer Maschine installiert ist, löscht es seine Binärdatei und läuft als Hintergrunddienst weiter. Gleichzeitig kopiert es sich aus dem Speicher an mehrere Speicherorte. Es versteckt sich hinter scheinbar harmlosen Namen, ähnlich wie Systemdateien, um die Wachsamkeit zu täuschen. Aqua Security hat diese Namen in einer Grafik zusammengefasst:
Die Malware modifiziert auch das ~/.profile-Skript (Umgebungskonfiguration bei der Benutzeranmeldung), um sicherzustellen, dass es während der Anmeldung ausgeführt wird. Es verfügt außerdem über ein Rootkit, das bei jedem Neustart des Computers ausgeführt wird.
Perfctl ist auch diskret. Zusätzlich zu den oben genannten Maßnahmen kann es alle „lauten“ Aktivitäten automatisch beenden, wenn sich ein Benutzer mit der Maschine verbindet. Seine verschiedenen Komponenten kommunizieren intern durch das Öffnen von Unix-Sockets und extern über Tor-Relais.
Es weiß auch, wie der pcap_loop-Prozess (über eine Abfangtechnik) manipuliert werden kann, um zu verhindern, dass Verwaltungstools Datenverkehr aufzeichnen, der als bösartig angesehen werden könnte. Das Hijacking von pcap_loop trägt auch zur Persistenz bei und ermöglicht die Fortsetzung bösartiger Aktivitäten, wenn Payloads erkannt und entfernt wurden. Darüber hinaus kann Perfctl Nachrichtenfehler unterdrücken, um zu verhindern, dass während der Ausführung Warnungen angezeigt werden.
Eine ungewisse Herkunft
Trotz der vielen Details, die von Forschern entdeckt wurden, herrscht über Perfctl eine große Unklarheit. Sie wissen nicht, woher es kommt oder welche bösartige Gruppe dahinter stecken könnte. Aqua Security ist jedoch der Ansicht, dass das technische Niveau sehr hoch ist. Die Ansammlung von Methoden beweist, dass die Autoren genau wissen, wie Linux funktioniert.
Ebenso schwierig ist es zu wissen, wie viele Maschinen infiziert sind. Perfctl versucht zunächst, bestimmte Schwachstellen auszunutzen, darunter CVE-2023-33426, eine kritische Schwachstelle mit maximaler Gefahr (10 von 10) in Apache RocketMQ. Selbst wenn es keinen findet, kann es dennoch auf andere Weise vorgehen und über 20.000 häufige Fehler in Konfigurationen ausnutzen. In diesem Fall wird versucht, die Schwachstelle CVE-2021-4043 in Gpac auszunutzen, um Root-Rechte zu erlangen.
Die Erkennung ist umso schwieriger, da Perfctl, wie bereits angegeben, seine sichtbarsten Aktivitäten stoppt, sobald eine Sitzung geöffnet wird. Forscher heben zahlreiche Gespräche über seltsames Verhalten auf ihren Servern hervor, insbesondere auf Reddit. „ Ich wurde erst auf die Malware aufmerksam, als meine Überwachungseinrichtung mich auf eine 100-prozentige CPU-Auslastung aufmerksam machte. Allerdings stoppte der Vorgang sofort, als ich mich über SSH oder die Konsole anmeldete. Sobald ich mich abmelde, wird die Malware innerhalb von Sekunden oder Minuten fortgesetzt », schreibt ein Administrator.
Es gibt andere Diskussionen der gleichen Art in verschiedenen Sprachen auf Websites wie Stack Overflow, Forobeta, Brainycp oder sogar Proxmox. Basierend auf diesen Aussagen können Aqua-Forscher nicht sicher sein, dass es sich tatsächlich um Perfctl handelt, sie weisen jedoch darauf hin, dass die Symptome übereinstimmen.
Wofür wird Perfctl verwendet?
Die Malware ist hartnäckig und heimlich, aber für welche Zwecke wird sie eingesetzt? Die Spitzen beim CPU-Verbrauch geben einen Hinweis: Er wird hauptsächlich zum Schürfen der Monero-Kryptowährung durch die Installation des XMRIG-Kryptominers verwendet. Die 100-prozentigen CPU-Spannungen stammen aus dem Mining, das extrem hohe Anforderungen an die Rechenleistung stellt. Wie Sie sehen, stoppt die Aktivität, sobald Sie eine Verbindung zu einer Sitzung herstellen.
Perfctl kann auch Proxy-Jacking durchführen. Dadurch wird ungenutzte Bandbreite für andere Zwecke wiederverwendet. In jedem Fall ist die Motivation eindeutig finanzieller Natur.
Trotz dieser beiden Aktivitäten wird Perfctl von Forschern als sehr vielseitig beschrieben. Abhängig von der vom Command-and-Control-Server (C2C) gesendeten Nutzlast kann es zu anderen böswilligen Aktionen wie der Datenexfiltration kommen.
Es loszuwerden ist nicht einfach
Es ist unklar, ob Antivirenprogramme derzeit in der Lage sind, Perfctl zu erkennen und zu entfernen. Die Forscher von Aqua Security geben weiterhin eine Reihe von Ratschlägen, insbesondere dazu, wie man das Vorhandensein von Malware erkennt.
Es gibt zwei Hauptkriterien für die Feststellung des Vorhandenseins von Schadsoftware. Erstens Spitzenwerte der CPU-Aktivität (oder scheinbar unerklärliche Verlangsamungen), insbesondere bei Prozessen namens httpd und sh. Dann das Vorhandensein verdächtiger Binärdateien in den Ordnern /tmp, /usr und /root. Als Beispiele werden Namen wie perfctl, sh, libpprocps.so, perfcc und libfsnkdev.so genannt.
Aqua empfiehlt außerdem, die Systemprotokolle auf Änderungen an den Dateien ~/.profile und /etc/ld.so.preload zu überprüfen und Änderungen an bestimmten Systembenutzern (wie ldd, top, lsof und crontab) zu überwachen.
Die Forscher empfehlen außerdem mehrere Abhilfemaßnahmen, von denen die wichtigste darin besteht, Serverkomponenten zu aktualisieren, insbesondere diejenigen, die von ausgenutzten Schwachstellen betroffen sind. Aqua schlägt außerdem vor, die Ausführung von Dateien in beschreibbaren Verzeichnissen einzuschränken, ungenutzte Dienste zu deaktivieren, eine strenge Berechtigungsverwaltung anzuwenden und natürlich Sicherheitstools einzusetzen, die Rootkits und Malware ohne Vorwarnung erkennen können.
Aqua schätzt, dass angesichts der Verbreitung gezielter und ungepatchter Schwachstellen derzeit Millionen von Computern für diese Malware anfällig sind.
Related News :