Die Perfctl-Malware wird zur stillen Bedrohung und infiziert Tausende von Linux-Servern
Aqua Security hat kürzlich eine alarmierende Entdeckung gemacht: Eine heimliche Malware namens Perfctl hat es seit über drei Jahren aktiv auf Linux-Server abgesehen und ist durch Fehlkonfigurationen und Schwachstellen der Server geschlüpft. Diese hochentwickelte Malware hat Tausende von Systemen kompromittiert, wobei sie sich auf Ausweichtaktiken und die Entführung von Ressourcen zum Schürfen von Kryptowährungen konzentriert. Hier erfahren Sie, was Sie über diese Malware-Familie wissen müssen, die unter dem Radar fliegt.
Inhaltsverzeichnis
So funktioniert Perfctl
Perfctl nutzt mehr als 20.000 bekannte Schwachstellen und Fehlkonfigurationen in Linux-Servern aus, um dauerhaften Zugriff zu erlangen. Sobald es sich im System befindet, schlägt es nicht sofort Alarm. Stattdessen arbeitet es im Hintergrund, verwendet ein Rootkit, um sich zu verbergen, und wird nur aktiviert, wenn der Server im Leerlauf ist. Die Kommunikation mit seiner Command-and-Control-Infrastruktur (C&C) wird sorgfältig über einen Unix-Socket und das Tor-Netzwerk verwaltet, wodurch sichergestellt wird, dass externe Befehle nur schwer nachverfolgt werden können.
Sobald die Malware im System ist, erstellt sie eine Hintertür, erweitert die Berechtigungen und ermöglicht ihren Betreibern die Fernsteuerung des infizierten Servers. Von dort aus setzt Perfctl Tools zur Aufklärung ein, legt einen Kryptowährungs-Miner ab und verwendet Proxy-Jacking-Software, um Ressourcen von kompromittierten Systemen zu stehlen. Seine Betreiber setzen außerdem zusätzliche Malware ein und machen die infizierten Server zu Brutstätten für noch schändlichere Aktivitäten.
Ausweichen und Beharrlichkeit sind der Schlüssel zu Perfctls Tarnung
Perfctl ist vor allem für eines konzipiert: verborgen zu bleiben. Es ändert Systemskripte, um sicherzustellen, dass es vor legitimen Workloads ausgeführt wird und so seine Kontrolle über den Server behält. Es greift auch auf verschiedene Authentifizierungsfunktionen zu, wodurch es Kennwortprüfungen umgehen oder sogar Anmeldeinformationen protokollieren kann, was Angreifern weiteren Zugriff auf vertrauliche Daten verschafft. Die Malware geht sogar so weit, ihre Operationen einzustellen, wenn sie Benutzeraktivitäten erkennt, wodurch sie für Administratoren nahezu unsichtbar wird.
Die Binärdateien von Perfctl sind gepackt, entpackt und verschlüsselt und so darauf ausgelegt, Erkennung und Reverse Engineering zu entgehen. Seine Entwickler haben große Anstrengungen unternommen, um sicherzustellen, dass herkömmliche Abwehrmechanismen nicht gegen das Programm wirken. Um die Sache noch schlimmer zu machen, gibt sich Perfctl nicht damit zufrieden, ein System zu kompromittieren – es sucht aktiv nach anderer Malware auf dem Server und versucht, diese zu beenden, um sicherzustellen, dass es die einzige Malware ist, die auf dem System ausgeführt wird.
Die Schwachstelle: CVE-2021-4043 Ausgenutzt
Einer der kritischen Einstiegspunkte für Perfctl ist eine bekannte Schwachstelle: CVE-2021-4043. Dabei handelt es sich um einen Nullzeiger-Dereferenzierungsfehler mittleren Schweregrads im Open-Source-Multimedia-Framework Gpac. Perfctl nutzt diese Schwachstelle, um seine Privilegien zu erhöhen und versucht, Root-Zugriff zu erlangen. Obwohl der Fehler kürzlich zum Katalog der bekannten ausgenutzten Schwachstellen von CISA hinzugefügt wurde, bleibt er aufgrund seiner anhaltenden Ausnutzung in freier Wildbahn ein Ziel für diese Malware.
Sobald Perfctl Zugriff erlangt, verbreitet es sich im infizierten System, kopiert sich an mehrere Orte und legt sogar modifizierte Linux-Dienstprogramme ab, die als Userland-Rootkits fungieren. Diese Dienstprogramme verschleiern ihre Vorgänge zusätzlich und ermöglichen es dem Kryptominer, unbemerkt im Hintergrund zu laufen.
Das Ausmaß des Angriffs
Perfctls Reichweite ist groß: Aqua Security identifizierte drei Download-Server, die bei den Angriffen verwendet wurden, sowie eine ganze Reihe kompromittierter Websites. Die Bedrohungsakteure hinter Perfctl verwenden Directory-Traversal-Fuzzing-Listen mit fast 20.000 Einträgen, um nach offengelegten Konfigurationsdateien und Geheimnissen zu suchen. Dies macht deutlich, dass sich die Angreifer nicht nur auf zufällige Schwachstellen verlassen, sondern systematisch nach Fehlkonfigurationen suchen, die sie ausnutzen können.
Was kann getan werden?
Die Entdeckung von Perfctl unterstreicht, wie wichtig es ist, sichere Konfigurationen auf Linux-Servern beizubehalten und bekannte Schwachstellen so schnell wie möglich zu patchen. Systemadministratoren sollten ihre Systeme regelmäßig auf ungewöhnliche Aktivitäten überprüfen, insbesondere während Leerlaufzeiten, und auf verdächtigen Netzwerkverkehr achten, der auf die Anwesenheit eines Rootkits oder Kryptowährungs-Miners hinweisen könnte.
Angesichts der Komplexität von Perfctl reichen herkömmliche Erkennungsmechanismen möglicherweise nicht aus. Unternehmen sollten die Implementierung erweiterter Tools zur Bedrohungserkennung und von Überwachungslösungen in Betracht ziehen, die ungewöhnliche Muster im Serververhalten erkennen können, selbst wenn die Malware aktiv versucht, sich zu verstecken.