Cảnh báo phần mềm độc hại perfctl nhắm tới hàng triệu máy chủ Linux

Theo các nhà nghiên cứu từ Aqua Nautilus, malware này có khả năng đã tấn công hàng triệu máy chủ Linux và có thể đã gây nhiễm cho hàng nghìn hệ thống trong những năm gần đây. Phát hiện này dựa trên nhiều báo cáo từ các nạn nhân gửi đến các diễn đàn trực tuyến, tất cả đều chứa các dấu hiệu xâm nhập liên quan đến hoạt động của perfctl.

Mục đích chính của perfctl là khai thác tiền điện tử, sử dụng các máy chủ bị xâm nhập để khai thác Monero, một loại tiền điện tử khó truy vết. Tuy nhiên, malware này cũng có thể được sử dụng cho các hoạt động gây hại khác dễ dàng.

Phương thức lây lan

Kẻ tấn công lợi dụng các cấu hình sai lệch hoặc thông tin nhạy cảm bị lộ để xâm nhập vào các máy chủ Linux. Những cấu hình này có thể bao gồm các tệp tin có thể truy cập công khai chứa thông tin xác thực hoặc các giao diện đăng nhập bị lộ.

Các nhà nghiên cứu đã quan sát thấy việc khai thác các lỗ hổng như CVE-2023-33246, một lỗ hổng thực thi lệnh từ xa ảnh hưởng đến các phiên bản Apache RocketMQ cũ (5.1.0 và cũ hơn), cũng như CVE-2021-4034 (PwnKit), một lỗ hổng nâng cao quyền hạn trong Polkit.

Khi đã có quyền truy cập ban đầu, một payload được đóng gói và obfuscated tên gọi "httpd" sẽ được tải xuống từ máy chủ của kẻ tấn công và thực thi. Sau đó, nó sao chép bản thân vào thư mục /tmp dưới tên "sh" và xóa đi bản gốc nhằm nguỵ trang với các hoạt động bình thường của hệ thống Linux.

Hoạt Động và Kỹ Thuật Né Tránh

Khi được khởi động, perfctl sẽ mở một socket Unix để giao tiếp nội bộ và thiết lập một kênh mã hóa với máy chủ của kẻ tấn công thông qua TOR, làm cho việc giải mã dữ liệu là không thể. Nó cũng triển khai một rootkit có tên libgcwrap.so, cho phép can thiệp vào các chức năng hệ thống khác nhau nhằm sửa đổi các cơ chế xác thực và chặn lưu lượng mạng khi cần thiết để hỗ trợ việc né tránh phát hiện.

Ngoài ra, các rootkit cấp người dùng cũng được triển khai, thay thế các tiện ích ldd, top, crontab và lsof bằng các phiên bản đã bị trojan hóa, từ đó ngăn chặn việc phát hiện các hoạt động của malware. Cuối cùng, một miner XMRIG được tải xuống và thực thi trên hệ thống để khai thác Monero bằng cách sử dụng tài nguyên CPU của máy chủ.

Tác động và dấu hiệu

perfctl rất tinh vi, hoạt động khai thác sẽ dừng lại ngay khi người dùng đăng nhập vào máy chủ và sẽ tiếp tục ngay khi người dùng đăng xuất.

Việc sử dụng rootkits khiến cho việc loại bỏ malware trở nên khó khăn hơn, vì các tiến trình độc hại này sẽ ẩn mình và không hiển thị trong các công cụ quản lý thông thường mà người dùng sử dụng. Điều này có nghĩa là ngay cả khi cố gắng tìm kiếm hoặc xóa chúng, cũng sẽ không thấy chúng xuất hiện. Để gỡ bỏ loại malware này phải ngắt kết nối mạng và khởi động máy tính từ một đĩa CD chứa các công cụ khôi phục hoặc điều tra chuyên dụng để kiểm tra và sửa chữa các tệp tin trong hệ thống.

Khuyến nghị

Giám sát hệ thống: Thường xuyên kiểm tra các thư mục /tmp, /usr, và /root để phát hiện tệp nhị phân đáng ngờ giả mạo các tệp tin hệ thống. Phân tích lưu lượng mạng: Phân tích lưu lượng mạng để tìm các kết nối dựa trên TOR đến các IP bên ngoài. Giám sát hiệu năng của máy chủ: Theo dõi mức sử dụng CPU liên tục để phát hiện các bất thường. Cập nhật các dịch vụ: Đảm bảo rằng tất cả các lỗ hổng đã biết trên các ứng dụng như RocketMQ và Polkit được vá. Ngoài ra, việc áp dụng tùy chọn noexec cho các thư mục quan trọng như /tmp và /dev/shm cũng sẽ rất hiệu quả.

Nguồn: VNCERT/CC

---

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

• Điện toán đám mây.

• Mạng phân phối nội dung

• Giám sát an toàn thông tin mạng.

• Bảo vệ an toàn thông tin đầu cuối.

• Sao lưu, phục hồi dữ liệu.

• Diễn tập phòng chống tấn công mạng.

• Kiểm tra, đánh giá an toàn thông tin mạng.

• Đào tạo an toàn thông tin.

• Dịch vụ khác:

  • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
  • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

• Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
• Email: sales@hissc.com.vn