Tin tức

Hàng ngàn hệ thống Linux bị nhiễm phần mềm độc hại bí ẩn trong nhiều năm.

Posted on by admin

Một loại mã độc ẩn đã xâm nhập hàng ngàn hệ thống Linux trong nhiều năm qua. Các cuộc thảo luận khác bao gồm Reddit, Stack Overflow (tiếng Tây Ban Nha), forobeta (tiếng Tây Ban Nha), brainycp (tiếng Nga), natnetwork (tiếng Indonesia), Proxmox (tiếng Đức), Camel2243 (tiếng Trung), svrforum (tiếng Hàn), exabytes, virtualmin, serverfault và nhiều trang web khác.
Sau khi khai thác một lỗ hổng hoặc cài đặt sai sót, mã khai thác tải xuống mã độc chính từ một máy chủ, mà trong hầu hết các trường hợp đã bị hacker xâm nhập và biến đổi thành kênh phân phối mã độc một cách ẩn danh. Một cuộc tấn công mục tiêu vào honeypot của các nhà nghiên cứu đã đặt tên mã độc là httpd. Một khi được thực thi, tệp sao chép chính nó từ bộ nhớ sang một vị trí mới trong thư mục /tmp, chạy nó và sau đó chấm dứt quá trình ban đầu và xóa tệp nhị phân đã tải xuống.
Sau khi chuyển sang thư mục /tmp, tệp thực thi dưới một tên khác, giống với tên của một quy trình Linux đã biết. Tệp đặt tên sh trên honeypot. Từ đó, tệp thiết lập một quy trình điều khiển và kiểm soát cục bộ và cố gắng giành quyền hệ thống gốc bằng cách khai thác CVE-2021-4043, một lỗ hổng tăng cấp quyền được vá vào năm 2021 trong Gpac, một khung đa phương tiện mã nguồn mở phổ biến.
Mã độc tiếp tục sao chép chính nó từ bộ nhớ sang một số vị trí ổ đĩa khác, một lần nữa sử dụng tên xuất hiện như các tệp hệ thống thông thường. Mã độc sau đó hiện ra một rootkit, một loạt các tiện ích Linux phổ biến đã được sửa đổi để phục vụ như rootkits, và miner. Trong một số trường hợp, mã độc cũng cài đặt phần mềm cho “proxy-jacking,” thuật ngữ chỉ việc định tuyến dữ liệu một cách bí mật thông qua máy tính bị lây nhiễm để không tiết lộ nguồn gốc thực của dữ liệu.
Người nghiên cứu tiếp tục nêu rõ:
Như một phần của hoạt động điều khiển và điều khiển, mã độc mở một Unix socket, tạo hai thư mục dưới thư mục /tmp và lưu dữ liệu ảnh hưởng đến hoạt động của nó. Dữ liệu này bao gồm sự kiện máy chủ, vị trí các bản sao của chính nó, tên quy trình, nhật ký giao tiếp, mã thông báo và thông tin nhật ký bổ sung. Ngoài ra, mã độc sử dụng biến môi trường để lưu trữ dữ liệu làm tác động đến việc thực thi và hành vi của nó.
Tất cả các mã nhị phân được nén, cắt gọt và mã hóa, cho thấy những nỗ lực đáng kể trong việc bypass các cơ chế phòng thủ và ngăn cản các nỗ lực phân tích ngược. Mã độc cũng sử dụng các kỹ thuật tránh né tiên tiến, chẳng hạn như tạm ngừng hoạt động khi nó phát hiện ra người dùng mới trong các tệp btmp hoặc utmp và chấm dứt bất kỳ mã độc cạnh tranh nào để duy trì kiểm soát trên hệ thống bị lây nhiễm.
Dựa vào dữ liệu như số lượng máy chủ Linux kết nối với internet thông qua các dịch vụ và ứng dụng khác nhau, theo dõi bởi các dịch vụ như Shodan và Censys, các nhà nghiên cứu ước lượng rằng số máy bị lây nhiễm bởi Perfctl đo lường hàng nghìn. Họ nói rằng nhóm máy chưa được bảo vệ – nghĩa là những máy chưa cài đặt bản vá cho CVE-2023-33426 hoặc chứa cài đặt sai sót có lỗ hổng – đang trong hàng triệu. Các nhà nghiên cứu vẫn chưa đo lường được số tiền tiền điện tử mà các máy đào xấu đã tạo ra.
Những người muốn xác định xem thiết bị của họ đã bị mục tiêu hoặc bị lây nhiễm bởi Perfctl nên tìm các chỉ mục của sự vi phạm được bao gồm trong bài viết hôm thứ Năm. Họ cũng nên chú ý đến các cú nhảy CPU không bình thường hoặc sự chậm trễ hệ thống đột ngột, đặc biệt nếu chúng xảy ra trong thời gian rảnh rỗi. Báo cáo hôm thứ Năm cũng cung cấp các bước để ngăn chặn sự lây nhiễm ban đầu.
Câu chuyện này ban đầu xuất hiện trên Ars Technica. #sựkiện #Perfctl #bảo mật #Linux

Nguồn: https://www.wired.com/story/perfctl-stealthy-malware-infected-linux-systems/

Other discussions include: Reddit, Stack Overflow (Spanish), forobeta (Spanish), brainycp (Russian), natnetwork (Indonesian), Proxmox (Deutsch), Camel2243 (Chinese), svrforum (Korean), exabytes, virtualmin, serverfault and many others.

After exploiting a vulnerability or misconfiguration, the exploit code downloads the main payload from a server, which, in most cases, has been hacked by the attacker and converted into a channel for distributing the malware anonymously. An attack that targeted the researchers’ honeypot named the payload httpd. Once executed, the file copies itself from memory to a new location in the /temp directory, runs it, and then terminates the original process and deletes the downloaded binary.

Once moved to the /tmp directory, the file executes under a different name, which mimics the name of a known Linux process. The file hosted on the honeypot was named sh. From there, the file establishes a local command-and-control process and attempts to gain root system rights by exploiting CVE-2021-4043, a privilege-escalation vulnerability that was patched in 2021 in Gpac, a widely used open source multimedia framework.

The malware goes on to copy itself from memory to a handful of other disk locations, once again using names that appear as routine system files. The malware then drops a rootkit, a host of popular Linux utilities that have been modified to serve as rootkits, and the miner. In some cases, the malware also installs software for “proxy-jacking,” the term for surreptitiously routing traffic through the infected machine so the true origin of the data isn’t revealed.

The researchers continued:

As part of its command-and-control operation, the malware opens a Unix socket, creates two directories under the /tmp directory, and stores data there that influences its operation. This data includes host events, locations of the copies of itself, process names, communication logs, tokens, and additional log information. Additionally, the malware uses environment variables to store data that further affects its execution and behavior.

All the binaries are packed, stripped, and encrypted, indicating significant efforts to bypass defense mechanisms and hinder reverse engineering attempts. The malware also uses advanced evasion techniques, such as suspending its activity when it detects a new user in the btmp or utmp files and terminating any competing malware to maintain control over the infected system.

By extrapolating data such as the number of Linux servers connected to the internet across various services and applications, as tracked by services such as Shodan and Censys, the researchers estimate that the number of machines infected by Perfctl is measured in the thousands. They say that the pool of vulnerable machines—meaning those that have yet to install the patch for CVE-2023-33426 or contain a vulnerable misconfiguration—is in the millions. The researchers have yet to measure the amount of cryptocurrency the malicious miners have generated.

People who want to determine if their device has been targeted or infected by Perfctl should look for indicators of compromise included in Thursday’s post. They should also be on the lookout for unusual spikes in CPU usage or sudden system slowdowns, particularly if they occur during idle times. Thursday’s report also provides steps for preventing infections in the first place.

This story originally appeared on Ars Technica.


[ad_2]

admin

Leave a Reply

Your email address will not be published. Required fields are marked *