Araştırmacılar, “perfctl” adı verilen ve dünya çapında milyonlarca Linux sunucusunu aktif olarak hedef alan gelişmiş bir Linux kötü amaçlı yazılımını ortaya çıkardı.
Bu kötü amaçlı yazılım, 20.000’den fazla türdeki yanlış sunucu yapılandırmasından yararlanarak internete bağlı herhangi bir Linux sunucusu için önemli bir tehdit oluşturur.
Kötü amaçlı yazılımın gizli doğası ve gelişmiş kaçınma teknikleri, onu tespit etmeyi ve ortadan kaldırmayı özellikle zorlaştırıyor.
Perfctl’ın Yükselişi: Siber Ortamda Yeni Bir Tehdit
Perfctl kötü amaçlı yazılımı, son birkaç yıldır geliştirici forumlarında ve çevrimiçi topluluklarda giderek artan bir endişe kaynağı haline geldi.
Güvenliği ihlal edilmiş Linux sunucularını içeren çok sayıda olayla ilişkilendirilmiştir. Kötü amaçlı yazılımın adı, meşru sistem süreçlerine uyum sağlama yeteneğinden geliyor ve bu da yöneticilerin tespit etmesini zorlaştırıyor.
Kötü amaçlı yazılım yazarları, “perf” (bir performans izleme aracı) ve “ctl” (kontrolü belirtir) gibi standart Linux araçlarından gelen öğeleri birleştirerek, kötü niyetli niyetini maskeleyen, görünüşte zararsız bir ad oluşturdular.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Perfctl’ın Mimarisini ve Saldırı Akışını Anlamak
Aqua Nautilus raporlarına göre Perfctl, kalıcılığı sağlamak ve tespitten kaçınmak için birden fazla yürütme katmanıyla tasarlandı.
Bir güvenlik açığından veya yanlış yapılandırmadan yararlanıldığında ana veri, saldırgan tarafından kontrol edilen bir sunucudan indirilir. Başlangıçta “httpd” olarak adlandırılan bu veri, algılanmayı önlemek için yanıltıcı adlar kullanarak kendisini diskteki çeşitli konumlara kopyalar.
Ayrıca varlığını gizlemek için rootkit’ler kullanıyor ve TOR iletişimleri için bir arka kapı açıyor.
Kötü amaçlı yazılımın saldırı akışı birkaç karmaşık teknik içerir:
- Rootkit Dağıtımı: Perfctl, çeşitli sistem işlevlerini bağlamak ve faaliyetlerini gizlemek için davranışlarını değiştirmek için rootkit’leri kullanır.
- Kalıcılık Mekanizmaları: ~/.profile gibi komut dosyalarını, kullanıcı girişi sırasında çalıştıklarından ve sunucudaki varlıklarını sürdürdüklerinden emin olmak için değiştirir.
- Savunmadan Kaçınma: Kötü amaçlı yazılım, yeni bir kullanıcı oturum açtığında etkinliğini askıya alır ve yalnızca sunucu boştayken devam eder.
Güvenlik Açıklarından Yararlanmak: Polkit Vakası
perfctl’ın temel stratejilerinden biri, virüs bulaşmış sunucudaki ayrıcalıkları yükseltmek için Polkit’teki CVE-2021-4043 gibi bilinen güvenlik açıklarından yararlanmaktır.
Bu, kötü amaçlı yazılımın root’a erişmesine olanak tanıyarak potansiyel etkisini önemli ölçüde artırır. Çoğu durumda perfctl, kripto madencilerini çalıştırmak, sistem kaynaklarını tüketmek ve performans sorunlarına neden olmak için kullanıldı.
Linux Sunucuları Üzerindeki Etkisi: Kripto Madencilik ve Proxy Jacking
Perfctl’in birincil etkisi, kripto madencilik faaliyetleri yoluyla kaynakların kaçırılmasıdır. Kötü amaçlı yazılım, önemli miktarda CPU kaynağı tüketen ve sistemin yavaşlamasına neden olan bir Monero kripto madencilik aracı (XMRIG) kullanıyor.
Buna ek olarak, bazı saldırılar proxy hırsızlığı yazılımını da içeriyor ve bu da tehlikeye atılan sunuculardan mali kazanç elde etmek için daha fazla yararlanıyor.
Tespit ve Azaltma Stratejileri
Mükemmelliği tespit etmek dikkatli olmayı ve sağlam izleme sistemlerini gerektirir. Temel göstergeler arasında CPU kullanımındaki olağandışı artışlar ve beklenmeyen ağ trafiği modelleri yer alıyor.
Yöneticiler /tmp, /usr ve /root gibi dizinleri sistem dosyaları gibi görünen şüpheli ikili dosyalar açısından incelemelidir.
TOR tabanlı iletişimler için ağ trafiğinin izlenmesi potansiyel enfeksiyonların belirlenmesine yardımcı olabilir. Perfctl genellikle kripto madencilik havuzları veya proxy hırsızlığı hizmetleriyle ilişkili harici IP’lerle iletişim kurar.
Yetkisiz değişikliklere karşı ldd, top, lsof ve crontab gibi sistem yardımcı programlarını düzenli olarak kontrol edin. Bu yardımcı programlar, kötü amaçlı yazılım tarafından truva atı haline getirilmiş sürümlerle değiştirilebilir.
perfctl geliştikçe, taktikleri hakkında bilgi sahibi olmak ve proaktif güvenlik önlemlerini uygulamak, Linux sunucularını korumak için çok önemlidir.
Bu tehdidi azaltmak için, güvenlik açıklarına düzenli olarak yama uygulamak, yazılabilir dizinlerde dosya yürütmeyi kısıtlamak ve gelişmiş kötü amaçlı yazılımdan koruma çözümlerini dağıtmak önemlidir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt