O malware infectou milhares de sistemas Linux ao longo dos anos

Outras discussões incluem: Reddit, Estouro de pilha (Espanhol), forobeta (Espanhol), cérebro (Russo), rede nacional (Indonésio), Proxmox (Nome), Kamel 2243 (Chinês), fórum svr (Coréia), exabyte, virtual, erro do servidor e muitos outros.

Depois de explorar uma vulnerabilidade ou configuração incorreta, o código de exploração baixa a carga principal do servidor, que na maioria dos casos foi invadido pelo invasor, tornando-se um canal para distribuição anônima de malware. O ataque que teve como alvo o mel dos pesquisadores foi uma carga chamada httpd. Uma vez executado, o arquivo se copia da memória para um novo local no diretório /temp, executa-o e, em seguida, encerra o processo original e exclui o binário baixado.

Uma vez movido para o diretório /tmp, o arquivo é executado com um nome diferente que imita o nome de um processo Linux conhecido. O arquivo localizado no honey chamava-se sh. A partir daí, o arquivo cria um processo personalizado e controle local e tenta obter privilégios de sistema raiz usando CVE-2021-4043, uma vulnerabilidade de escalonamento de privilégios corrigida em 2021 no Gpac, uma estrutura multimídia de código aberto amplamente usada.

O malware continua a se copiar da memória para vários outros locais do disco, novamente usando nomes que aparecem como arquivos normais do sistema. Depois disso, o malware rootkit descarta vários utilitários populares do Linux disfarçados de rootkits e mineradores. Em alguns casos, o malware também instala software para “proxy-jacking”, um termo usado para rotear secretamente o tráfego através de uma máquina infectada para que a verdadeira origem dos dados não seja revelada.

Os pesquisadores continuaram:

Como parte de sua operação de comando e controle, o malware abre um soquete Unix, cria dois diretórios no diretório /tmp e armazena informações que afetam sua operação. Essas informações incluem eventos de host, o local de suas cópias, nomes de processos, logs de comunicação, ícones e informações adicionais de log. Além disso, o malware utiliza variáveis ​​de ambiente para armazenar dados que afetam ainda mais seu desempenho e comportamento.

Todos os binários são compactados, embaralhados e criptografados, o que mostra que muitos esforços são feitos para contornar os mecanismos de defesa e frustrar as tentativas de engenharia reversa. O malware também usa técnicas avançadas de evasão, como suspender sua atividade ao detectar um novo usuário em arquivos btmp ou utmp e encerrar qualquer malware para manter o controle sobre o sistema infectado.

Ao referenciar dados como o número de servidores Linux na Internet através de vários serviços e programas rastreados por serviços como Shodan e Censys, os pesquisadores estimam que o número de máquinas infectadas pelo Perfctl é medido na casa dos milhares. Eles dizem que o conjunto de máquinas vulneráveis, ou seja, máquinas que ainda não instalaram o patch para CVE-2023-33426 ou contêm uma configuração incorreta vulnerável, está na casa dos milhões. Os pesquisadores ainda não mediram a quantidade de criptomoedas geradas por mineradores maliciosos.

As pessoas que desejam determinar se seu dispositivo foi alvo ou infectado pelo Perfctl devem procurar indicadores de comprometimento. Mensagem de quinta-feira. Eles também devem estar atentos a picos incomuns no uso da CPU ou lentidão repentina do sistema, especialmente se ocorrerem durante o tempo ocioso. O relatório de quinta-feira também sugere medidas para prevenir infecções em primeiro lugar.

Esta história apareceu primeiro Ars Técnica.