Perfctl恶意软件通过模仿系统文件在Linux上潜伏多年

整个攻击流程 | 图片来源：Aqua Nautilus

Aqua Nautilus 研究人员 Assaf Morag 和 Idan Revivo 在最近的一份报告中警告Linux 服务器社区出现了一种特别隐蔽和危险的恶意软件：perfctl。这种恶意软件在过去 3-4 年里一直很活跃，利用了超过 20,000 种类型的服务器配置错误，可能影响全球数百万台 Linux 服务器。

perfctl 恶意软件的设计充分考虑了其弹性。一旦感染了服务器，该恶意软件便会在服务器使用时处于休眠状态，仅在检测到空闲时间时才会激活。据 Aqua Nautilus 称，“当新用户登录服务器时，它会立即停止所有‘嘈杂’活动，处于休眠状态，直到服务器再次空闲。”这使得恶意软件可以在典型的系统检查期间避免被发现。

Perfctl 使用 rootkit 进一步隐藏其活动，从而向系统实用程序掩盖其存在。它利用漏洞（包括 Polkit 漏洞 (CVE-2021-4043)）来提升权限并更深入地控制受感染的系统。它甚至会将自身复制到具有欺骗性名称（例如libpprocps.so和libfsnkdev.so）的各种目录中，以确保持久性并将自己伪装成合法进程。

perfctl 的主要目的之一是劫持系统资源进行加密货币挖矿，特别是利用 Monero (XMRIG) 加密货币挖矿程序。该恶意软件会大量消耗受感染系统的 CPU 能力，由于其巧妙地掩盖活动，因此通常不会被注意到。根据报告，在所有观察到的案例中，“加密货币挖矿程序都经过打包和加密，通过 TOR 网络与加密货币挖矿池进行通信。”这增加了一层额外的混淆，使追踪非法活动变得更加困难。

Perfctl 不仅仅是加密货币挖矿，它还会在受感染的服务器上打开后门，让威胁者能够保持控制并可能部署其他有效载荷，例如代理劫持软件。该恶意软件的持久性尤其令人担忧，因为它会修改重要的服务器文件，以~/.profile确保即使在重新启动后也能重新激活。该报告强调了该恶意软件的持久性，并指出它“修改了 ~/.profile 脚本，确保恶意软件在用户登录时首先运行”

尽管影响广泛，但 perfctl 多年来一直难以捉摸。Reddit 和 Stack Overflow 等在线论坛上出现了大量报告，开发人员报告了与该恶意软件相关的异常系统行为。许多报告都指出了高 CPU 使用率和性能问题，但很少有报告将这些问题与 perfctl 明确联系起来，因为它的名称旨在与常见的 Linux 系统进程融合在一起。

检测 perfctl 并非易事，但 Aqua Nautilus 提供了一些关键建议。管理员应检查可疑二进制文件，尤其是目录中的二进制文件，如/tmp、/usr和/root。监控资源使用率高的进程并捕获基于 TOR 的通信的网络流量也很重要。

随着 Linux 服务器继续为全球关键基础设施提供支持，管理员必须保持警惕，定期更新系统，并留意受损迹象，以减轻 perfctl 带来的风险。

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

原文始发于微信公众号（独眼情报）：“Perfctl”恶意软件通过模仿系统文件在Linux上潜伏多年