В мире кибербезопасности появилась новая серьезная угроза для Linux-серверов — вредоносная программа под названием perfctl. Эксперты компании Aqua обнаружили, что эта малварь уже три года атакует неправильно настроенные и уязвимые системы, нанося значительный ущерб. Давайте разберемся, что представляет собой perfctl, как он работает и какие меры защиты следует предпринять.
Что такое perfctl и как он распространяется?
Perfctl — это сложное вредоносное ПО, основными целями которого являются криптомайнинг и проксиджекинг. Название происходит от попытки маскироваться под легитимные системные процессы Linux. По оценкам специалистов, perfctl уже атаковал миллионы серверов, успешно заразив тысячи из них.
Распространение perfctl происходит через различные векторы атаки, включая:
- Эксплуатацию неправильных настроек серверов
- Использование случайно раскрытых учетных данных
- Атаки на открытые интерфейсы входа в систему
- Эксплуатацию уязвимостей, таких как CVE-2023-33246 в Apache RocketMQ и CVE-2021-4034 (PwnKit) в Polkit
Механизм работы и особенности perfctl
После проникновения в систему, perfctl демонстрирует впечатляющие возможности по закреплению и маскировке:
- Загрузка обфусцированной полезной нагрузки под видом процесса httpd
- Создание множественных копий в различных системных директориях
- Использование имен, похожих на легитимные процессы Linux
- Установка зашифрованного канала связи через Tor
- Внедрение руткитов для перехвата системных функций и сетевого трафика
- Подмена системных утилит (ldd, top, crontab, lsof) вредоносными версиями
Важно отметить, что perfctl обладает способностью «засыпать» при обнаружении активности пользователя на сервере, что значительно затрудняет его выявление.
Последствия заражения perfctl
Основной целью perfctl является незаконное использование ресурсов зараженных серверов. Это проявляется в двух формах:
1. Криптомайнинг
На зараженной системе устанавливается майнер XMRIG для добычи криптовалюты Monero, что приводит к значительному потреблению вычислительных ресурсов.
2. Проксиджекинг
Этот менее заметный, но не менее вредоносный аспект атаки заключается в «краже» неиспользуемой полосы пропускания. Злоумышленники продают эти ресурсы через сервисы типа Bitping, Repocket и Speedshare, получая дополнительный доход.
Как защититься от perfctl?
Учитывая сложность и глубину проникновения perfctl в систему, эксперты рекомендуют следующие меры:
- Регулярно обновляйте программное обеспечение и устанавливайте патчи безопасности
- Используйте сложные пароли и двухфакторную аутентификацию
- Ограничьте доступ к серверам только необходимым персоналом
- Внедрите системы обнаружения вторжений (IDS) и мониторинга аномалий
- Проводите регулярные аудиты безопасности
В случае обнаружения заражения perfctl, рекомендуется полностью переустановить операционную систему, так как вредонос глубоко интегрируется в систему и модифицирует критические файлы. Простое удаление может оказаться недостаточным для полного устранения угрозы.
Появление таких сложных угроз, как perfctl, подчеркивает важность комплексного подхода к кибербезопасности. Организациям необходимо не только внедрять технические меры защиты, но и постоянно обучать персонал, чтобы противостоять постоянно эволюционирующим киберугрозам. Только сочетание передовых технологий и высокой осведомленности пользователей может обеспечить надежную защиту в современном цифровом мире.
