Se copia a sí mismo desde la memoria a media docena de otras ubicaciones
Es probable que miles de sistemas Linux estén infectados con el malware de criptominería altamente elusivo y persistente "perfctl" (o "perfcc") y muchos otros aún podrían correr el riesgo de verse comprometidos, revelaron la semana pasada los investigadores de Aqua Security.
“En todos los ataques observados, el malware fue utilizado para ejecutar un criptominero, y en algunos casos, también detectamos la ejecución de software de proxy-jacking”, compartieron.
El malware "Perfctl"
Aunque la criptominería real la realiza el software de criptominería XMRIG Monero, el nombre del malware, perfctl, se deriva del nombre del proceso de criptominería establecido en los sistemas afectados (Este proceso fue mencionado repetidamente por los usuarios afectados, quienes estuvieron buscando durante años consejos para solucionar este problema en foros en línea).
"Al combinar ‘perf’ (una herramienta de monitoreo de rendimiento de Linux) con ‘ctl’ (comúnmente usado para indicar control en herramientas de línea de comandos), los autores del malware crearon un nombre que parece legítimo. Esto hace que sea más fácil para los usuarios o administradores pasarlo por alto durante las investigaciones iniciales, ya que se mezcla con los procesos típicos del sistema", explicaron los investigadores.
El actor de la amenaza está instalando el malware explotando vulnerabilidades conocidas (por ejemplo, RocketMQ) o 20.000 tipos de configuraciones erróneas (por ejemplo, falta de autenticación en la configuración predeterminada de Selenium Grid).
La carga útil inicial descargada (el binario de instalación que es efectivamente un instalador de malware multipropósito) se copia a sí mismo desde la memoria a una nueva ubicación en el directorio /tmp y ejecuta el nuevo binario desde allí. El proceso y el binario originales se terminan/eliminan, y el nuevo funciona como un cuentagotas (dropper) y un proceso de comando y control (C2) local.
Imagen: El flujo de ataque de "perfctl" (Fuente: Aqua Security)
El malware:
• Contiene y utiliza un exploit para CVE-2021-4034 (también conocido como PwnKit) para intentar obtener privilegios de root completos
• Modifica los scripts existentes para garantizar la ejecución del malware y la supresión de errores de mensajes (que podrían indicar una ejecución maliciosa), y elimina un binario que verifica la ejecución de la carga útil principal.
• Se copia a sí mismo desde la memoria a media docena de otras ubicaciones (con nombres de archivo que imitan los nombres de los archivos de sistema convencionales)
• Instala un rootkit para ocultar su presencia y asegurar la persistencia, alterar el tráfico de la red, etc.
• Coloca varias utilidades de Linux troyanizadas para ocultar elementos de ataque específicos (por ejemplo, trabajos cron creados durante el ataque, consumo de CPU del criptominero, bibliotecas maliciosas y dependencias utilizadas por el malware), para evitar que los desarrolladores o ingenieros de seguridad detecten qué está atacando la máquina.
• Utiliza un socket Unix sobre TOR para comunicaciones externas
• Deja caer y ejecuta el criptominero XMRIG y, ocasionalmente, el software de proxy-jacking (conectando la máquina a una red proxy)
Otra característica interesante de este malware es que actúa de forma discreta (es decir, detiene toda actividad de criptominería) cuando un nuevo usuario inicia sesión en el servidor, como notaron los usuarios afectados.
Detección, eliminación y mitigaciones
Cuando se trata de cryptojacking, cuanto más tiempo logren los atacantes mantener oculto el problema al usuario, más dinero "ganarán" en última instancia.
Es por esto que los atacantes hicieron grandes esfuerzos para lograr el sigilo y la persistencia.
Y aunque a algunos usuarios podría no molestarles demasiado que sus sistemas se utilicen para minería de criptomonedas o proxy por un tiempo, deberían reconsiderar su postura ya que el peligro podría ser mayor de lo que pensaban.
"También hemos observado que el malware actúa como puerta trasera para instalar otras familias de malware", señalaron los investigadores.
Es posible detectar el malware "perfctl" en el sistema mediante la inspección de directorios, procesos, registros del sistema y tráfico de red. Aqua ha compartido indicadores de vulnerabilidad y consejos para la mitigación de riesgos para usuarios y administradores de sistemas Linux.