- 13,095
- 20
- 8 Ноя 2022
Скрытая угроза затаилась в недрах вашей операционной системы.
Недавно исследователи из компании Aqua Security Для просмотра ссылки Войдиили Зарегистрируйся по атаке уязвимых Linux -серверов с помощью скрытого вредоносного ПО под названием perfctl. Главная цель этой программы — использовать ресурсы скомпрометированных серверов для скрытого майнинга криптовалюты и взлома прокси.
Perfctl отличается высокой степенью скрытности и устойчивости благодаря применению ряда продвинутых методов. Как отмечают исследователи Ассаф Мораг и Идан Ревиво, при входе нового пользователя на сервер вредоносное ПО прекращает «шумные» действия и переходит в спящий режим до тех пор, пока сервер не станет неактивным. После запуска вредонос удаляет свой бинарный файл и продолжает работать в фоновом режиме как системный сервис.
Некоторые аспекты этой атаки ранее Для просмотра ссылки Войдиили Зарегистрируйся компанией Cado Security , которая обнаружила кампанию по атаке на открытые в интернете экземпляры Selenium Grid для целей криптоджекинга и проксиджекинга .
Особенность perfctl заключается в использовании уязвимости в Polkit ( Для просмотра ссылки Войдиили Зарегистрируйся также известной как PwnKit), что позволяет повысить права до root и внедрить майнер под названием perfcc. Имя «perfctl» выбрано намеренно, чтобы маскироваться под легитимные системные процессы, так как «perf» ассоциируется с инструментом мониторинга производительности Linux, а «ctl» часто используется в различных командных утилитах.
Атака начинается с взлома Linux-сервера через уязвимый экземпляр Apache RocketMQ, куда загружается вредоносный файл под именем «httpd». После запуска он копирует себя в новую директорию «/tmp», удаляет первоначальный бинарный файл и продолжает свою деятельность в новой локации.
Помимо этого, perfctl маскируется под безобидные процессы, создаёт руткит для обхода защитных механизмов и внедряет полезную нагрузку майнера. В ряде случаев происходит загрузка и исполнение ПО для прокси-взлома с удалённого сервера.
Для защиты от perfctl рекомендуется своевременно обновлять системы и программное обеспечение, ограничивать выполнение файлов, отключать неиспользуемые сервисы, применять сетевую сегментацию и использовать модели управления доступом на основе ролей (RBAC) для ограничения доступа к критическим файлам.
Исследователи подчёркивают, что наличие perfctl можно выявить по неожиданным всплескам использования CPU или замедлению работы системы, что особенно характерно при внедрении руткитов и активном майнинге в моменты простоя сервера.
Недавно исследователи из компании Aqua Security Для просмотра ссылки Войди
Perfctl отличается высокой степенью скрытности и устойчивости благодаря применению ряда продвинутых методов. Как отмечают исследователи Ассаф Мораг и Идан Ревиво, при входе нового пользователя на сервер вредоносное ПО прекращает «шумные» действия и переходит в спящий режим до тех пор, пока сервер не станет неактивным. После запуска вредонос удаляет свой бинарный файл и продолжает работать в фоновом режиме как системный сервис.
Некоторые аспекты этой атаки ранее Для просмотра ссылки Войди
Особенность perfctl заключается в использовании уязвимости в Polkit ( Для просмотра ссылки Войди
Атака начинается с взлома Linux-сервера через уязвимый экземпляр Apache RocketMQ, куда загружается вредоносный файл под именем «httpd». После запуска он копирует себя в новую директорию «/tmp», удаляет первоначальный бинарный файл и продолжает свою деятельность в новой локации.
Помимо этого, perfctl маскируется под безобидные процессы, создаёт руткит для обхода защитных механизмов и внедряет полезную нагрузку майнера. В ряде случаев происходит загрузка и исполнение ПО для прокси-взлома с удалённого сервера.
Для защиты от perfctl рекомендуется своевременно обновлять системы и программное обеспечение, ограничивать выполнение файлов, отключать неиспользуемые сервисы, применять сетевую сегментацию и использовать модели управления доступом на основе ролей (RBAC) для ограничения доступа к критическим файлам.
Исследователи подчёркивают, что наличие perfctl можно выявить по неожиданным всплескам использования CPU или замедлению работы системы, что особенно характерно при внедрении руткитов и активном майнинге в моменты простоя сервера.
- Источник новости
- www.securitylab.ru
