导 读
10 月 3 日,Aqua Nautilus 研究人员发布了一篇博客文章,披露了一种名为“Perfctl”的 Linux 恶意软件,该恶意软件在过去三到四年内一直针对 Linux 服务器,使用“超过 20,000 种错误配置”作为攻击媒介开始利用。
该恶意软件的架构、组件、防御规避策略、持久性机制以及如何检测它。Perfctl 特别难以捉摸且持久,采用了几种复杂的技术,包括:
-
它利用 rootkit 来隐藏其存在。
-
当新用户登录服务器时,它会立即停止所有“嘈杂”活动,处于休眠状态,直到服务器再次空闲。
-
它利用 Unix 套接字进行内部通信,利用 TOR 进行外部通信。
-
执行后,它会删除其二进制文件并继续作为服务在后台静默运行。
-
它使用欺骗性的名称将自身从内存复制到磁盘上的各个位置。
-
它在服务器上打开后门并监听 TOR 通信。
-
它试图利用 Polkit 漏洞 (CVE-2021-4043) 来提升权限。
考虑到 Perfctl 恶意软件已经存在了很长时间,它是一种相当严重且持久的威胁。一个狡猾的加密货币挖矿程序已经够糟糕了,但 Perfctl 还可以通过某些媒介获得对整个系统的更大后门访问权限,这可能会带来更大的安全问题。
在诊断受影响的服务器时,也很难正确检测被劫持的进程。它可以完全隐藏其加密货币挖矿活动,并返回忽略其活动的 CPU 利用率数字。
在观察到的所有攻击中,恶意软件都用于运行加密矿工,在某些情况下,研究人员还检测到代理劫持软件的执行。
在一次沙盒测试中,威胁组织利用恶意软件的一个后门访问蜜罐,并开始部署一些新的实用程序,以更好地了解服务器的性质,试图了解分析人员到底对恶意软件做了什么。
攻击流程
幸运的是,服务器运营商可以采取一些缓解措施来帮助减轻 Perfctl 带来的威胁。
Aqua Nautilus 推荐的 Perfctl 恶意软件缓解措施
-
修补所有潜在漏洞,特别是 RocketMQ 服务器等应用程序的漏洞和 Polkit 漏洞。建议保持库的更新。
-
通过在用于执行此恶意软件的/tmp、/dev/svm 和“其他可写目录”上设置“noexec”来限制文件执行。
-
禁用可选和未使用的服务,特别是“那些可能将系统暴露给外部攻击者的服务,例如HTTP 服务”。
-
通过限制对关键文件和目录的根访问,以及采用基于角色的访问控制 (RBAC) 来限制用户和进程可以访问或修改的内容,实施严格的权限管理。
-
通过将关键服务器与互联网隔离或使用防火墙阻止出站通信(“尤其是 Tor 流量或与加密挖矿池的连接”)来对网络进行分段。
-
使用“可以检测rootkit、加密矿工和无文件恶意软件(如 Perfctl)的高级反恶意软件和行为检测工具”部署安全保护。
技术博客:https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/
新闻链接:
https://www.tomshardware.com/tech-industry/cyber-security/security-experts-claim-new-perfctl-malware-could-pose-a-risk-to-any-linux-server
今日安全资讯速递
APT事件
Advanced Persistent Threat
荷兰政府指责“国家行为者”入侵警察网络
https://www.securityweek.com/dutch-government-blames-a-state-actor-for-hacking-a-police-network/
微软和美国政府扰乱俄罗斯Star Blizzard威胁组织运营
https://www.infosecurity-magazine.com/news/microsoft-us-govenment-disrupt/
CeranaKeeper 成为泰国政府网络的新威胁
https://www.infosecurity-magazine.com/news/ceranakeeper-new-threat-thai/
Salt Typhoon 入侵美宽带提供商,可能访问系统并获取其他数据
https://securityaffairs.com/169460/apt/salt-typhoon-hacked-us-broadband-providers.html
一般威胁事件
General Threat Incidents
Highline 公立学校确认勒索软件是停课的幕后黑手
https://www.bleepingcomputer.com/news/security/highline-public-schools-confirms-ransomware-attack-was-behind-september-shut-down/
FakeUpdate 活动在法国传播 WarmCookie 病毒
https://gridinsoft.com/blogs/fakeupdate-campaign-warmcookie-virus-france/
威胁组织部署了新的 MedusaLocker 勒索软件变种
https://www.infosecurity-magazine.com/news/medusalocker-ransomware-deployed/
perfctl:针对数百万台 Linux 服务器的隐秘恶意软件
https://www.tomshardware.com/tech-industry/cyber-security/security-experts-claim-new-perfctl-malware-could-pose-a-risk-to-any-linux-server
漏洞事件
Vulnerability Incidents
苹果发布关键 iOS 和 iPadOS 更新以修复 VoiceOver 密码漏洞
https://thehackernews.com/2024/10/apple-releases-critical-ios-and-ipados.html
CISA 警告 Zimbra 和 Ivanti Endpoint Manager 漏洞遭积极利用
https://cybersecuritynews.com/zimbra-ivanti-endpoint-manager-vulnerability/
最近修补的 CUPS 漏洞可用于放大 DDoS 攻击
https://www.bleepingcomputer.com/news/security/recently-patched-cups-flaw-can-be-used-to-amplify-ddos-attacks/
WordPress LiteSpeed Cache 插件漏洞可能导致网站被接管
https://securityaffairs.com/169390/security/wordpress-litespeed-cache-plugin-flaw-site-takeover.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):perfctl:针对数百万台 Linux 服务器的隐秘恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论