Aqua Security araştırmacıları geçen hafta, binlerce Linux sistemine büyük olasılıkla yakalanması zor ve kalıcı “perfctl” (veya “perfcc”) kripto madenciliği kötü amaçlı yazılımının bulaştığını ve diğer birçok sistemin hâlâ ele geçirilme riski altında olabileceğini açıkladı.
“Gözlemlenen tüm saldırılarda, kötü amaçlı yazılım bir kripto madencisini çalıştırmak için kullanıldı ve bazı durumlarda proxy hırsızlığı yazılımının çalıştırıldığını da tespit ettik” diye paylaştılar.
“Perfctl” kötü amaçlı yazılımı
Gerçek kripto madencilik XMRIG Monero kripto madencilik yazılımı tarafından gerçekleştirilse de, kötü amaçlı yazılımın adı – perfctl – etkilenen sistemlerde oluşturulan kripto madencilik sürecinin adından türetilmiştir. (Yıllardır çevrimiçi forumlarda çözüm tavsiyesi arayan etkilenen kullanıcılar bu sürece defalarca başvurdu.)
“’Perf’i (bir Linux performans izleme aracı) ‘ctl’ (genellikle komut satırı araçlarında kontrolü belirtmek için kullanılır) ile birleştirerek, kötü amaçlı yazılım yazarları meşru görünen bir ad hazırladılar. Bu, tipik sistem süreçlerine uyum sağladığı için kullanıcıların veya yöneticilerin ilk araştırmalar sırasında gözden kaçırmasını kolaylaştırıyor.” diye açıkladı araştırmacılar.
Tehdit aktörü, kötü amaçlı yazılımı ya bilinen güvenlik açıklarından (örn. RocketMQ) ya da 20.000 tür yanlış yapılandırmadan (örn. Selenium Grid’in varsayılan yapılandırmasında kimlik doğrulama eksikliği) yararlanarak yüklüyor.
İndirilen ilk veri (etkili bir şekilde çok amaçlı bir kötü amaçlı yazılım düşürücü olan kurulum ikili dosyası) kendisini bellekten bilgisayardaki yeni bir konuma kopyalar. /tmp dizini oluşturur ve yeni ikili dosyayı oradan çalıştırır. Orijinal süreç ve ikili program sonlandırılır/silinir ve yenisi, bir damlalık ve yerel komut ve kontrol (C2) işlemi olarak işlev görür.
“Mükemmel” saldırı akışı (Kaynak: Aqua Security)
Kötü amaçlı yazılım:
- Tam kök ayrıcalıkları elde etmeye çalışmak için CVE-2021-4034’e (diğer adıyla PwnKit) yönelik bir istismar içerir ve kullanır
- Kötü amaçlı yazılımın yürütülmesini ve bastırılmasını sağlamak için mevcut komut dosyalarını değiştirir. mesaj hatalar (kötü niyetli yürütmeye işaret edebilir) ve ana yükün yürütülmesini doğrulayan bir ikili dosyayı bırakır
- Kendini bellekten yarım düzine başka konuma kopyalar (geleneksel sistem dosyalarının adlarını taklit eden dosya adlarıyla)
- Varlığını gizlemek ve kalıcılığı sağlamak, ağ trafiğini değiştirmek vb. için bir rootkit bırakır.
- Geliştiricilerin veya güvenlik mühendislerinin makineye saldıran şeyin yerini belirlemesini önlemek için belirli saldırı öğelerini (örneğin, saldırı sırasında oluşturulan cron işleri, kripto madencisinin CPU tüketimi, kötü amaçlı kitaplıklar ve kötü amaçlı yazılım tarafından kullanılan bağımlılıklar) gizlemek için çeşitli truva atı haline getirilmiş Linux yardımcı programlarını bırakır
- Harici iletişim için TOR üzerinden Unix soketi kullanır
- XMRIG kripto madenciliğini ve ara sıra proxy korsanlık yazılımını bırakır ve çalıştırır (makineyi bir proxy ağına bağlamak)
Bu kötü amaçlı yazılımla ilgili bir başka ilginç şey de, etkilenen kullanıcılar tarafından belirtildiği gibi, yeni bir kullanıcı sunucuya giriş yaptığında, düşük düzeyde kalması, yani tüm kripto madencilik faaliyetlerini durdurmasıdır.
Algılama, kaldırma ve azaltmalar
Kripto hırsızlığı söz konusu olduğunda, saldırganlar güvenliği kullanıcıdan ne kadar uzun süre gizli tutmayı başarırsa, sonuçta o kadar çok para “kazanacaklar”.
Bu nedenle saldırganlar gizlilik ve kalıcılık sağlamak için büyük çaba harcadılar.
Bazı kullanıcılar, sistemlerinin kripto madenciliği veya proxy için kullanılmasından bir süreliğine fazla rahatsız olmasa da, tehlikenin düşündüklerinden daha büyük olabileceğinden tutumlarını yeniden gözden geçirmeleri gerekiyor.
“[We] Araştırmacılar, kötü amaçlı yazılımın diğer kötü amaçlı yazılım ailelerini yüklemek için bir arka kapı görevi gördüğünü de gözlemlediler” dedi.
Sisteminizde “perfctl” kötü amaçlı yazılımların tespit edilmesi, dizinlerin, süreçlerin, sistem günlüklerinin ve ağ trafiğinin incelenmesi yoluyla gerçekleştirilebilir. Aqua, Linux sistemlerinin kullanıcıları ve yöneticileri için uzlaşma göstergelerini ve risk azaltma tavsiyelerini paylaştı.