Predmet:Zlonamjerni softver >perfctl< zarazio je tisuće Linux posluzitelja i radnih stanica
Istrazivači iz tvrtke Aqua Nautilus otkrili su da je XMRIG, softver za rudarenje kriptovaluta, u ovom slučaju neovlasteno, skriven najmanje tri godine u tisućama servera, a cijeli malware je posebno tesko otkriti konvencionalnim metodama.
Procjenjuje se da je od 2021. godine potencijalno zlonamjerni softver nazvan >perfctl< zarazio tisuće Linux sustava, uspjesno izbjegavao otkrivanje zbog naprednih tehnika i rootkitova dok ga nisu otkrili istrazivači iz tvrtke Aqua Nautilus. Glavna svrha perfctla je rudarenje kriptovaluta, posebice kriptovalute Monero.
Poznate ranjivosti
Lanac zaraze perfctlom obično je započeo iskoristavanjem pogresnih konfiguracija ili ranjivosti u Linux sustavima. Napadači su primijećeni kako napadaju javno dostupne datoteke s vjerodajnicama, izlozena sučelja za prijavu te poznate ranjivosti poput CVE-2023-33246 u Apache RocketMQ-u i CVE-2021-4034 (PwnKit) u Polkitu.
Nakon sto ostvari početni pristup, zlonamjerni softver postavlja zapakirani i zamagljeni dio koda nazvan "httpd" koji se pkopira se u /tmp direktorij pod imenom "sh", brise izvornu binarnu datoteku i stvara dodatne kopije na raznim sistemskim lokacijama kako bi osigurao perzistentnost.
Izbjegava detekcije
Primarni dio koda koji obavlja glavnu zlonamjernu aktivnost nakon sto se malware infiltrira u sustav, je XMRIG, softver za rudarenje kriptovaluta, specifično dizajniran za rudarenje Monera (XMR) i drugih kriptovaluta koje koriste RandomX, CryptoNight i Argon2 algoritme. XMRIG ima dvojaku prirodu - legitimnu i zlonamjernu. Originalno je razvijen kao legitimni alat za rudarenje kriptovaluta, ali često je zloupotrebljavan od strane kibernetičkih kriminalaca kao malware za neovlasteno rudarenje.
Perfctl koristi sofisticirane tehnike izbjegavanja detekcije, uključujući rootkitove. Otvara Unix socket, koji omogućuje procesima na istom računalu da učinkovito komuniciraju i uspostavlja sifrirani kanal s napadačevim posluziteljima preko TOR-a, sto otezava analizu prometa. Zlonamjerni softver također instalira rootkit nazvan <libgcwrap.so>, kao dio malwarea >perfctl< koji modificira sistemske funkcije kako bi izbjegao otkrivanje.
Jedna od značajnih karakteristika perfctla je njegova sposobnost komplicirane detekcije. Kada se korisnik prijavi na zarazeni posluzitelj, zlonamjerni softver odmah zaustavlja svoje operacije, nastavljajući tek kada sustav ponovno postane neaktivan. Ovo ponasanje čini ga posebno teskim za otkrivanje od strane sistemskih administratora konvencionalnim metodama.
Sve izbrisati i ponovo instalirati
Otkrivanje i uklanjanje perfctla predstavlja problem zbog koristenja rootkitova i zamjene sistemskih alata. Mnogi korisnici postanu svjesni zaraze tek nakon primjećivanja neuobičajenih obrazaca koristenja CPU-a. Međutim, prikrivena priroda zlonamjernog softvera često sprječava izravno promatranje zlonamjernih procesa.
S obzirom na slozenost zaraze i sposobnost modificiranja sistemskih datoteka, sigurnosni stručnjaci preporučuju potpuno brisanje sustava i ponovnu instalaciju za zahvaćene uređaje.
izvor:bug.hr
Slicice prilozenih slika:
zlonamjerni-softver-perfctl-zarazio-je-tisuce-linux-posluzitelja-i-radnih_Xx9UJu.png
Tip datoteke:
png
Preuzimanja:0
Velicina datoteke:215.24 KB
Velicina slike: 800 x 518 Pikseli
zivot je moja domovina.
Ovaj post je ureden
1
puta. Posljednja izmjena 06.10.2024 10:00 od strane Avko.
Portal
iCentar
Statistike
Procitajte pravila
Donacije
Racunari i oprema
Softver i op. sistemi
Hardver i mreze
Programiranje i baze
Nauka
Tehnika
Dom i porodica
Biznis
Sport i rekreacija
Zabava
Zanimljivosti
Pretrazi
Tim
Registriraj se
Prijavi se
Verzija za stampu