“Perfctl” olarak bilinen, dünya çapında milyonlarca Linux sunucusunu hedef alan karmaşık ve anlaşılması zor bir kötü amaçlı yazılım keşfedildi.
Aqua Nautilus’taki araştırmacılar, son 3-4 yılda Linux sunucularında 20.000’den fazla yanlış yapılandırma türünden aktif olarak yararlanan bu kötü amaçlı yazılıma ışık tuttu.
Perfctl kötü amaçlı yazılımı özellikle kalıcıdır ve tespit edilmekten kaçınmak ve virüslü sistemler üzerinde kontrolü sürdürmek için çeşitli gelişmiş teknikler kullanır.
Varlığını gizlemek için rootkit’leri kullanır, yeni bir kullanıcı sunucuda oturum açtığında tüm “gürültülü” etkinlikleri durdurur ve Unix soketlerini kullanarak dahili olarak ve TOR aracılığıyla harici olarak iletişim kurar.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Perfctl Kötü Amaçlı Yazılımın Temel Özellikleri
- Kaçınma Teknikleri: Perfctl, yürütüldükten sonra ikili dosyasını siler ve bir hizmet olarak arka planda sessizce çalışmaya devam eder. Tipik sistem işlemlerine uyum sağlamak için yanıltıcı adlar kullanarak kendisini bellekten diskteki çeşitli konumlara kopyalar.
- Kalıcılık Mekanizmaları: Kötü amaçlı yazılım şunları değiştirir:
~/.profileKullanıcı oturum açtığında çalıştırılmasını ve rakip kötü amaçlı yazılımları sonlandırarak sistem üzerinde kontrolü sürdürmesini sağlayan komut dosyası. - Sömürü: Perfctl, ayrıcalıkları yükseltmek için Polkit güvenlik açığından (CVE-2021-4043) yararlanmaya çalışıyor.
- Kripto madenciliği: Saldırının birincil etkisi, kötü amaçlı yazılımın sunucunun CPU kaynaklarını tüketmek için bir Monero kripto madenciliğini (XMRIG) çalıştırmasıyla kaynakların ele geçirilmesidir.
- Proxy Hırsızlığı: Bazı durumlarda kötü amaçlı yazılım, proxy hırsızlığı yazılımını çalıştırmak için kullanılır ve saldırganların kullanılmayan internet bant genişliğini paylaşarak para kazanmasına olanak tanır.
Perfctl kötü amaçlı yazılımını tespit etmek için kullanıcıların CPU kullanımındaki olağandışı artışları, sistem yavaşlamalarını ve şüpheli ikili dosyaları araması gerekir. /tmp, /usrVe /root dizinler.
Raporda, TOR tabanlı iletişim için ağ trafiğinin ve kripto madencilik havuzlarına veya proxy korsanlık hizmetlerine giden bağlantıların izlenmesinin de çok önemli olduğu belirtiliyor.
Azaltma stratejileri arasında güvenlik açıklarına yama uygulanması, yazılabilir dizinlerde dosya yürütülmesinin kısıtlanması, kullanılmayan hizmetlerin devre dışı bırakılması, katı ayrıcalık yönetiminin uygulanması ve rootkit’leri ve dosyasız kötü amaçlı yazılımları tespit edebilen çalışma zamanı koruma araçlarının dağıtılması yer alır.
Saldırıların boyutu göz önüne alındığında, milyonlarca Linux sunucusunun risk altında olabileceği ve binlercesinin zaten risk altında olabileceği tahmin ediliyor.
Kötü amaçlı yazılımın çok çeşitli yanlış yapılandırmaları hedefleme yeteneği, onu internete bağlı herhangi bir Linux sunucusu için önemli bir tehdit haline getiriyor.
Perfctl kötü amaçlı yazılımı dünya çapındaki Linux sunucuları için önemli bir tehdit oluşturuyor ve sağlam güvenlik önlemleri ve dikkatli izleme ihtiyacını vurguluyor.
Kullanıcılar, taktiklerini anlayarak ve sistemleri güvence altına almak için proaktif adımlar atarak kendilerini bu yakalanması zor ve kalıcı tehdide karşı koruyabilirler.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri