Verkeerd geconfigureerde en kwetsbare Linux-servers zijn het doelwit van een voortdurende campagne die een sluipende malware aflevert genaamd perfect met als primair doel het runnen van een cryptocurrency-mijnwerker en proxyjacking-software.
“Perfctl is bijzonder ongrijpbaar en volhardend en maakt gebruik van verschillende geavanceerde technieken”, zeggen Aqua-beveiligingsonderzoekers Assaf Morag en Idan Revivo in een rapport gedeeld met The Hacker News.
“Wanneer een nieuwe gebruiker zich aanmeldt op de server, stopt deze onmiddellijk alle ‘luidruchtige’ activiteiten en blijft inactief totdat de server weer inactief is. Na uitvoering verwijdert het zijn binaire bestand en blijft het rustig op de achtergrond draaien als een service.”
Het is de moeite waard om op te merken dat sommige aspecten van de campagne vorige maand werden onthuld door Cado Security, waarin een activiteitencluster werd beschreven dat zich richt op op internet blootgestelde Selenium Grid-instanties met zowel cryptocurrency-mining als proxyjacking-software.
Concreet is gebleken dat de bestandsloze perfctl-malware misbruik maakt van een beveiligingsfout in Polkit (CVE-2021-4043, ook bekend als PwnKit) om de rechten te escaleren om een mijnwerker met de naam perfcc te rooten en te droppen.
De reden achter de naam “perfctl” lijkt een doelbewuste poging te zijn om detectie te omzeilen en op te gaan in legitieme systeemprocessen, aangezien “perf” verwijst naar een Linux-prestatiemonitoringtool en “ctl” een veelgebruikt achtervoegsel is dat controle in verschillende processen betekent. opdrachtregelprogramma’s, zoals systemctl, timedatectl en Rabbitmqctl.
De aanvalsketen, zoals waargenomen door het cloudbeveiligingsbedrijf tegen zijn honeypot-servers, omvat het binnendringen van Linux-servers door misbruik te maken van een kwetsbare Apache RocketMQ-instantie om een payload met de naam ‘httpd’ te leveren.
Eenmaal uitgevoerd kopieert het zichzelf naar een nieuwe locatie in de map “/tmp”, voert het nieuwe binaire bestand uit, beëindigt het oorspronkelijke proces en verwijdert het oorspronkelijke binaire bestand in een poging zijn sporen uit te wissen.
De malware kopieert zichzelf niet alleen naar andere locaties en geeft zichzelf ogenschijnlijk onschuldige namen, maar is ook ontworpen om een rootkit te plaatsen om de verdediging te ontwijken en de lading van de mijnwerkers te vergroten. In sommige gevallen moet ook proxyjacking-software van een externe server worden opgehaald en uitgevoerd.
Om het risico van perfctl te beperken, wordt aanbevolen om systemen en alle software up-to-date te houden, de uitvoering van bestanden te beperken, ongebruikte services uit te schakelen, netwerksegmentatie af te dwingen en op rollen gebaseerde toegangscontrole (RBAC) te implementeren om de toegang tot kritieke bestanden te beperken. .
“Om perfctl-malware te detecteren, zoek je naar ongebruikelijke pieken in het CPU-gebruik of naar systeemvertraging als de rootkit op je server is geïmplementeerd”, aldus de onderzoekers. “Deze kunnen duiden op cryptomining-activiteiten, vooral tijdens inactieve tijden.”
