Perfctl-Malware
Eine bedrohliche Software hat Tausende von Linux-basierten Systemen infiziert. Sie zeichnet sich durch ihre heimliche Vorgehensweise, die große Bandbreite an Fehlkonfigurationen, die sie ausnutzen kann, und die große Bandbreite an schädlichen Aktionen aus, die sie ausführen kann.
Diese Bedrohung wurde erstmals 2021 entdeckt und nutzt über 20.000 häufig vorkommende Fehlkonfigurationen, um Systeme zu infiltrieren, was ein Risiko für Millionen von mit dem Internet verbundenen Geräten darstellt. Darüber hinaus nutzt sie CVE-2023-33426 aus, eine kritische Schwachstelle mit einem maximalen Schweregrad von 10, die letztes Jahr in Apache RocketMQ gepatcht wurde, einer Messaging- und Streaming-Plattform, die auf Linux-Systemen weit verbreitet ist.
Inhaltsverzeichnis
Die Perfctl-Malware ist mit einer Vielzahl bösartiger Funktionen ausgestattet
Der Name Perfctl leitet sich von einer bösartigen Komponente ab, die heimlich Kryptowährungen schürft. Die Entwickler, deren Identität unbekannt bleibt, kombinierten den Namen des Linux-Leistungsüberwachungstools „perf“ mit „ctl“, einer gängigen Abkürzung in Befehlszeilenprogrammen. Ein bemerkenswertes Merkmal von Perfctl ist die Verwendung von Prozess- und Dateinamen, die denen in Linux-Umgebungen sehr ähnlich sind, wodurch es der Erkennung durch betroffene Benutzer entgehen kann.
Um seine Präsenz noch besser zu verbergen, verwendet Perfctl verschiedene Tarntaktiken. Dazu gehört die Installation vieler Komponenten als Rootkits, eine spezielle Kategorie von Malware, die sich vor dem Betriebssystem und Verwaltungstools verstecken soll. Weitere Ausweichstrategien sind:
- Unterbinden leicht erkennbarer Aktivitäten bei der Anmeldung neuer Benutzer
- Nutzung eines Unix-Sockets über TOR für die externe Kommunikation
- Löschen der Installationsbinärdatei nach der Ausführung und anschließendes Ausführen als Hintergrunddienst
- Manipulation des Linux-Prozesses pcap_loop mithilfe einer als Hooking bekannten Technik, um zu verhindern, dass Verwaltungstools bösartigen Datenverkehr aufzeichnen
- Unterdrücken von Nachrichtenfehlern, um sichtbare Warnungen während der Ausführung zu vermeiden.
Perfctl ist auf Persistenz ausgelegt, sodass es auf infizierten Rechnern auch nach Neustarts oder Versuchen, Kernkomponenten zu eliminieren, bestehen bleibt. Dies wird durch Techniken wie die Änderung des Skripts ~/.profile erreicht, das die Umgebung während der Benutzeranmeldung initialisiert, sodass die Malware vor legitimen Serverprozessen geladen werden kann. Außerdem kopiert sie sich selbst aus dem Speicher an mehrere Speicherorte auf der Festplatte. Das Einbinden von pcap_loop verbessert die Persistenz noch weiter, indem es die Fortsetzung unsicherer Aktivitäten ermöglicht, selbst nachdem primäre Nutzlasten erkannt und entfernt wurden.
Perfctl nutzt nicht nur Systemressourcen, um Kryptowährungen zu schürfen, sondern verwandelt die infizierte Maschine auch in einen gewinnbringenden Proxy, der es zahlenden Kunden ermöglicht, ihren Internetverkehr umzuleiten. Cybersicherheitsforscher haben außerdem festgestellt, dass die Malware als Hintertür für die Installation anderer Malware-Familien fungiert.
Angriffsablauf der Perfctl-Malware-Infektion
Nachdem eine Schwachstelle oder Fehlkonfiguration ausgenutzt wurde, lädt der Exploit-Code die primäre Nutzlast von einem kompromittierten Server herunter, der in einen anonymen Verteilungskanal für die Malware umgewandelt wurde. Bei dem untersuchten Angriff wurde die Nutzlast httpd genannt. Bei der Ausführung repliziert sich die Datei aus dem Speicher an einen neuen Speicherort im Verzeichnis /temp, führt die kopierte Version aus, beendet den ursprünglichen Prozess und löscht die heruntergeladene Binärdatei.
Nach der Verschiebung in das Verzeichnis /tmp wird die Datei unter einem anderen Namen ausgeführt, der einen bekannten Linux-Prozess imitiert, der in diesem Fall speziell sh heißt. Anschließend richtet es einen lokalen Command-and-Control-Prozess (C2) ein. Es versucht, Root-Systemrechte zu erlangen, indem es CVE-2021-4043 ausnutzt, eine Schwachstelle zur Rechteausweitung, die 2021 in Gpac, einem beliebten Open-Source-Multimedia-Framework, gepatcht wurde.
Anschließend kopiert sich die Malware aus dem Speicher an verschiedene andere Speicherorte auf der Festplatte, wobei sie wiederum Namen verwendet, die normalen Systemdateien ähneln. Außerdem installiert sie ein Rootkit sowie eine Reihe häufig verwendeter Linux-Dienstprogramme, die so verändert wurden, dass sie als Rootkits fungieren, und die Mining-Komponente. In einigen Fällen installiert die Malware Software für „Proxy-Jacking“, also die verdeckte Weiterleitung des Datenverkehrs über die infizierte Maschine, wodurch der wahre Ursprung der Daten verschleiert wird.
Als Teil seiner C2-Operationen öffnet die Malware einen Unix-Socket, erstellt zwei Verzeichnisse im Verzeichnis /tmp und speichert dort Betriebsdaten. Zu diesen Daten gehören Host-Ereignisse, die Speicherorte seiner Kopien, Prozessnamen, Kommunikationsprotokolle, Token und zusätzliche Protokollinformationen. Darüber hinaus verwendet es Umgebungsvariablen, um Daten zu speichern, die seine Ausführung und sein Verhalten beeinflussen.
Alle Binärdateien werden gepackt, entpackt und verschlüsselt, was zeigt, dass die Malware versucht, Sicherheitsmaßnahmen zu umgehen und Reverse-Engineering-Bemühungen zu erschweren. Die Malware verwendet ausgefeilte Ausweichtaktiken, z. B. unterbricht sie ihre Aktivitäten, wenn sie einen neuen Benutzer in den btmp- oder utmp-Dateien erkennt, und beendet konkurrierende Malware, um die Kontrolle über das infizierte System aufrechtzuerhalten.
Perfctl gefährdet Zehntausende Geräte
Durch die Analyse von Daten zur Anzahl der Linux-Server, die über verschiedene Dienste und Anwendungen mit dem Internet verbunden sind, schätzen die Forscher, dass Tausende von Maschinen mit Perfctl infiziert sind. Ihre Ergebnisse deuten darauf hin, dass der Pool anfälliger Maschinen – diejenigen, die den Patch für CVE-2023-33426 noch nicht angewendet haben oder Fehlkonfigurationen aufweisen – Millionen beträgt. Die Forscher haben jedoch noch nicht die Gesamtmenge der von den schädlichen Minern generierten Kryptowährung ermittelt.
Um zu überprüfen, ob ihr Gerät von Perfctl angegriffen oder infiziert wurde, sollten Benutzer nach den identifizierten Indikatoren für eine Kompromittierung suchen. Darüber hinaus sollten sie auf ungewöhnliche Spitzen bei der CPU-Auslastung oder unerwartete Systemverlangsamungen achten, insbesondere während Leerlaufzeiten.
