Avko | 06.10.2024 09:59 |
---|---|
Predmet:Zlonamjerni softver >perfctl< zarazio je tisuće Linux posluzitelja i radnih stanica Istrazivači iz tvrtke Aqua Nautilus otkrili su da je XMRIG, softver za rudarenje kriptovaluta, u ovom slučaju neovlasteno, skriven najmanje tri godine u tisućama servera, a cijeli malware je posebno tesko otkriti konvencionalnim metodama. Procjenjuje se da je od 2021. godine potencijalno zlonamjerni softver nazvan >perfctl< zarazio tisuće Linux sustava, uspjesno izbjegavao otkrivanje zbog naprednih tehnika i rootkitova dok ga nisu otkrili istrazivači iz tvrtke Aqua Nautilus. Glavna svrha perfctla je rudarenje kriptovaluta, posebice kriptovalute Monero. Poznate ranjivosti Lanac zaraze perfctlom obično je započeo iskoristavanjem pogresnih konfiguracija ili ranjivosti u Linux sustavima. Napadači su primijećeni kako napadaju javno dostupne datoteke s vjerodajnicama, izlozena sučelja za prijavu te poznate ranjivosti poput CVE-2023-33246 u Apache RocketMQ-u i CVE-2021-4034 (PwnKit) u Polkitu. Nakon sto ostvari početni pristup, zlonamjerni softver postavlja zapakirani i zamagljeni dio koda nazvan "httpd" koji se pkopira se u /tmp direktorij pod imenom "sh", brise izvornu binarnu datoteku i stvara dodatne kopije na raznim sistemskim lokacijama kako bi osigurao perzistentnost. Izbjegava detekcije Primarni dio koda koji obavlja glavnu zlonamjernu aktivnost nakon sto se malware infiltrira u sustav, je XMRIG, softver za rudarenje kriptovaluta, specifično dizajniran za rudarenje Monera (XMR) i drugih kriptovaluta koje koriste RandomX, CryptoNight i Argon2 algoritme. XMRIG ima dvojaku prirodu - legitimnu i zlonamjernu. Originalno je razvijen kao legitimni alat za rudarenje kriptovaluta, ali često je zloupotrebljavan od strane kibernetičkih kriminalaca kao malware za neovlasteno rudarenje. Perfctl koristi sofisticirane tehnike izbjegavanja detekcije, uključujući rootkitove. Otvara Unix socket, koji omogućuje procesima na istom računalu da učinkovito komuniciraju i uspostavlja sifrirani kanal s napadačevim posluziteljima preko TOR-a, sto otezava analizu prometa. Zlonamjerni softver također instalira rootkit nazvan <libgcwrap.so>, kao dio malwarea >perfctl< koji modificira sistemske funkcije kako bi izbjegao otkrivanje. Jedna od značajnih karakteristika perfctla je njegova sposobnost komplicirane detekcije. Kada se korisnik prijavi na zarazeni posluzitelj, zlonamjerni softver odmah zaustavlja svoje operacije, nastavljajući tek kada sustav ponovno postane neaktivan. Ovo ponasanje čini ga posebno teskim za otkrivanje od strane sistemskih administratora konvencionalnim metodama. Sve izbrisati i ponovo instalirati Otkrivanje i uklanjanje perfctla predstavlja problem zbog koristenja rootkitova i zamjene sistemskih alata. Mnogi korisnici postanu svjesni zaraze tek nakon primjećivanja neuobičajenih obrazaca koristenja CPU-a. Međutim, prikrivena priroda zlonamjernog softvera često sprječava izravno promatranje zlonamjernih procesa. S obzirom na slozenost zaraze i sposobnost modificiranja sistemskih datoteka, sigurnosni stručnjaci preporučuju potpuno brisanje sustava i ponovnu instalaciju za zahvaćene uređaje. izvor:bug.hr |
|
Prilozi: zlonamjerni-softver-perfctl-zarazio-je-tisuce-linux-posluzitelja-i-radnih_Xx9UJu.png (Velicina datoteke:215.24 KB) |