Çok amaçlı ve gizemli bir kötü amaçlı yazılım damlatıcısı, yıllardır dünya çapındaki Linux sunucularını terörize ediyor ve sayısız kurbana kripto madenciliği ve proxy korsanlığı kötü amaçlı yazılım bulaştırıyor. Yeni bir analiz, onun sırlarını ve hedeflerini tehlikeye atmaya yönelik on binlerce istismar yolundan oluşan geniş bir hazineyi ortaya çıkardı.
Bir süredir ABD ve Rusya’da, Almanya ve Endonezya’da, Kore’de, Çin’de, İspanya’da ve aradaki çoğu yerde bireyler şu vakaları bildiriyor: “perfctl” (aka perfcc) tüm bilgi işlem gücünü tüketiyor.
Aqua Nautilus’un baş araştırmacısı Assaf, “Son üç ya da dört yıldır, hatta belki daha da uzun bir süredir, ‘bir şey bana saldırıyor, bilmiyorum, onu öldürmeye çalışıyorum’ diyen blog ve forum gönderilerini gördük” dedi. Morag hatırlıyor. “Mükemmel bir şekilde nasıl öldürüldüğünü anlatan birçok makale var, ancak insanlar onu öldüremez çünkü o kendini saklamaya devam ediyor ve çok ısrarcı.”
Kötü amaçlı yazılım, ilk erişimi elde etmek için yararlanılacak güvenlik açıklarını ve yanlış yapılandırmaları arar. Bugüne kadar Aqua Nautilus bugün rapor edildikötü amaçlı yazılım muhtemelen milyonlarca Linux sunucusunu hedef aldı ve binlercesinin güvenliğini ihlal etti. İnternet’e bağlı herhangi bir Linux sunucusu görüş alanında olduğundan, henüz perfctl ile karşılaşmamış olan herhangi bir sunucu risk altındadır.
Ve Morag, hırslarının mutlaka kripto madenciliği ve proxy korsanlığı ile bitmediği konusunda uyarıyor. Raporunda belirtilmese de Morag, kötü amaçlı yazılımın, kaynak kodundaki sabit kodlanmış sırları ortadan kaldırmak için tasarlanmış meşru bir sızma testi aracı olan TruffleHog’u düşürdüğünü gözlemledi.
“Öyleyse hayal edin: Bir yandan da para kazanıyorlar [by cryptomining and proxyjacking]ama aynı zamanda sırları çalmak ve belki de onları siber yeraltında satmak, büyük şirketlerle bağlantılı sunuculara erişimi satmak,” diye öne sürüyor.
Kitaptaki Her Yanlış Yapılandırma
Perfctl’in tespit edip kullanabileceği olası sunucu yanlış yapılandırmalarının hacmi ve çeşitliliği oldukça fazladır.
Araştırmacılar, bulaşmaları takip ederek tehdit aktörüne ait üç Web sunucusu belirledi: ikisi daha önce önceki saldırılarda ele geçirilmişti ve üçüncüsü muhtemelen tehdit aktörü tarafından kurulmuş ve ona aitti. Güvenliği ihlal edilen sunuculardan biri, kötü amaçlı yazılım dağıtımı için birincil temel olarak kullanıldı. Güvenliği ihlal edilen diğer sunucu çok daha ilginç bir bulgu içeriyordu: Dizin geçişine yönelik potansiyel yolların yaklaşık 20.000 giriş uzunluğunda bir listesi.
Listede 12.000’den fazla bilinen yanlış sunucu yapılandırması, yetkisiz kimlik bilgilerinin, belirteçlerin ve anahtarların ele geçirilmesine yönelik yaklaşık 2.000 yol, yetkisiz oturum açmaya yönelik 1.000’den fazla teknik ve farklı uygulamalardaki düzinelerce olası yanlış yapılandırma (örneğin 68 tanesi yalnızca Apache RocketMQ ile ilişkili) yer alıyordu. , açık kaynaklı dağıtılmış mesajlaşma ve akış platformu). Sadece birkaç örnek vererek Morag şunu açıklıyor: “Eğer bir HTTP sunucunuz varsa belki bir şablonu açığa çıkarırsınız. Kubernetes’te yanlışlıkla sırları veya rolleri açığa çıkarabilirsiniz. Hatta zayıf bir şifre bile yanlış yapılandırma olabilir.”
Ele geçirilen sunucudaki bu belirsiz listenin yanı sıra, çeşitli türde belgelenmiş yanlış yapılandırmalara yönelik açıklardan yararlanan takip dosyaları da vardı.
Yanlış yapılandırmaların yanı sıra, perfctl ayrıca aşağıdakiler gibi çeşitli hatalar yoluyla bir sunucuya ilk erişimi sağlama yeteneğine de sahiptir: CVE-2023-33246, uzaktan komut yürütme (RCE) güvenlik açığı Apache RocketMQ’da. CVE-2023-33246, geçen yıl Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) 10 üzerinden “kritik” 9,8 puan aldı.
Yüksek Sesli Aktiviteyi Nasıl Mükemmel Gizler?
Kripto madenciliği ve proxy korsanlığı doğası gereği gürültülüdür. İster üçüncü taraf proxy yazılımı ister XMRig Monero madencisi olsun, güvenliği ihlal edilmiş bir sunucuya mükemmel bir şekilde düşen programlar, sunucunun CPU kaynaklarını tüketecektir. Ancak yine de, gelişmiş gizlilik ve kalıcılık mekanizmaları katmanları sayesinde mükemmelin kendisini fark etmek veya yok etmek kolay değildir.
Örneğin, gizli iletişimi kolaylaştırmak için program bir arka kapı bırakır ve Tor aracılığıyla yapılan iletişimi dinler. Tespit edilmekten ve varlığına dair kanıtların gizlenmesinden kaçınmak için, süreç maskelemeyi kullanıyor ve meşru sistem süreçleriyle eşleşen adlar altında kendisini çeşitli konumlara kopyalıyor.
Yazarlarının ona verdiği isim olan “perfctl” de aynı tür taktiğin kanıtıdır: “perf” bir Linux izleme aracıdır ve “ctl” genellikle sistem bileşenlerini veya sistem bileşenlerini kontrol eden komut satırı araçlarının son eki olarak kullanılır. hizmetler. Kötü amaçlı yazılımın yasal görünen adı, tipik süreçlere daha kolay uyum sağlamasına olanak tanıyor.
Ve çalıştırıldıktan sonra perfctl ikili dosyasını siler ancak perde arkasında bir hizmet olarak çalışmaya devam eder.
Varlığını ve kötü amaçlı etkinliklerini güvenlik yazılımından ve araştırmacı incelemesinden daha da gizlemek için, çekirdek düzeyinde bir kök kitinin yanı sıra, kullanıcı düzeyindeki rootkit’lere yeniden dönüştürülen birkaç Linux yardımcı programını dağıtır. Çekirdek rootkit’i özellikle güçlüdür; çeşitli sistem işlevlerine bağlanarak işlevlerini değiştirir, ağ trafiğini etkili bir şekilde yönlendirir, ağ trafiğini zayıflatır. Takılabilir Kimlik Doğrulama Modülleri (PAM), birincil yükler tespit edilip kaldırıldıktan sonra bile kalıcılık sağlar veya verileri gizlice sızdırır.
Ve bir kullanıcı güvenliği ihlal edilmiş sunucuda oturum açtığında, perfctl en gürültülü davranışlarını anında durdurur ve kullanıcı oturumu kapatana ve sahil temizlenene kadar ortalıkta kalmaz.
Kısacası Morag “bu güçlü bir araç” diyor. “Verileri silmeye, verileri çalmaya, kripto para birimi satın almaya, proxy korsanlığı yapmaya karar verebilirsiniz; bu saldırgana bağlıdır.”
perfctl ve Diğer Dosyasız Kötü Amaçlı Yazılımlara yönelik azaltım
Araştırmacılar, Linux sunucuları çalıştıranların ortamlarını korumak için acil adımlar atması gerektiği konusunda uyardı. Aqua, mükemmel ve benzeri tehditler için aşağıdaki azaltıcı önlemleri önerir:
-
Yama güvenlik açıkları: Tüm güvenlik açıklarının yamalı olduğundan emin olun. Özellikle RocketMQ sunucuları ve CVE-2021-4043 (Polkit) gibi internete yönelik uygulamalar. Tüm yazılım ve sistem kitaplıklarını güncel tutun.
-
Dosya yürütmeyi kısıtla: Kötü amaçlı yazılımların ikili dosyaları doğrudan bu konumlardan yürütmesini önlemek için /tmp, /dev/shm ve diğer yazılabilir dizinlerde noexec’i ayarlayın.
-
Kullanılmayan hizmetleri devre dışı bırakın: Gerekli olmayan tüm hizmetleri, özellikle de sistemi harici saldırganlara maruz bırakabilecek HTTP hizmetleri gibi hizmetleri devre dışı bırakın.
-
Sıkı ayrıcalık yönetimi uygulayın: Kritik dosya ve dizinlere kök erişimini kısıtlayın. Kullanıcıların ve süreçlerin erişebileceği veya değiştirebileceği şeyleri sınırlamak için rol tabanlı erişim kontrolünü (RBAC) kullanın.
-
Ağ segmentasyonu: Kritik sunucuları internetten yalıtın veya giden iletişimi, özellikle TOR trafiğini veya kripto madenciliği havuzlarına bağlantıları kısıtlamak için güvenlik duvarları kullanın.
-
Çalışma zamanı korumasını dağıtın: Kök takımları, kripto madencilerini ve perfctl gibi dosyasız kötü amaçlı yazılımları tespit edebilen gelişmiş kötü amaçlı yazılımdan koruma ve davranışsal algılama araçlarını kullanın.