Seit 2021 befällt die ausgeklügelte Linux-Malware „Perfctl“ massenweise Linux-Server mit falschen Konfigurationen und nutzt diese als Proxy-Server für Kryptomining. Wegen der erfolgreichen Tarnung blieben die Attacken lange Zeit unentdeckt.
Sicherheitsforscher haben entdeckt, dass die Malware namens „Perfctl“ bereits seit 2021 im Umlauf ist und Linux-Server befällt, um diese dann heimlich als Proxy-Server für Kryptomining zu benutzen. Die Malware hat in den letzten drei bis vier Jahren aktiv nach mehr als 20.000 Arten von Fehlkonfigurationen in Linux-Systemen gesucht und dabei bereits Millionen von Servern angegriffen. Die Zahl der Geräte, welche erfolgreich von der Malware befallen wurden, gehe laut Team Nautilus in die Tausende. Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme dienen. Die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist.
In allen bekannten Fällen führte die Malware einen Kryptominer aus. In einigen Fällen wurde dem Bericht zufolge auch eine Proxy-Jacking-Software verwendet. Während Analysten Sandbox-Tests mit der Malware durchführten, machten sie die Beobachtung, dass die Malware im Hintergrund andere Programme installierte, um unbemerkt das Geschehen zu überwachen.
Perfctl tarnt sich durch ausgeklügelte Techniken
Perfctl ist besonders schwer zu fassen und hartnäckig, da es mehrere ausgeklügelte Techniken einsetzt, wie beispielsweise Rootkits, um seine Präsenz zu verbergen. Wenn sich ein neuer Benutzer auf dem Server anmeldet, stoppt die Malware zudem sofort alle auffälligen Aktivitäten und bleibt so lange inaktiv, bis der Server wieder inaktiv ist. Für die interne Kommunikation nutzt das Schadprogramm Unix-Sockets während die externe Kommunikation über einen TOR-Server geleitet wird. Damit ist eine Nachverfolgung unmöglich. Nach der Ausführung löscht es seine Binärdatei und läuft im Hintergrund als Dienst weiter. Zudem kopiert es sich aus dem Speicher an verschiedene Stellen auf der Festplatte und verwendet dabei irreführende Namen.
Durch eine Hintertür auf dem Server überwacht die Malware die TOR-Kommunikation und versucht zudem, die Polkit-Schwachstelle (CVE-2021-4043) auszunutzen, um seine Rechte zu erweitern.
Direkt zum Bericht auf AuqaSec.com
Über Aqua Security Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.