Server Linux menjadi target kampanye berkelanjutan yang mengirimkan malware tersembunyi yang dijuluki perfctl dengan tujuan utama menjalankan penambang mata uang kripto dan perangkat lunak proxyjacking.
"Perfctl sangat sulit dipahami dan persisten, menggunakan beberapa teknik canggih," kata peneliti keamanan Aqua Assaf Morag dan Idan Revivo dalam sebuah laporan yang dibagikan kepada The Hacker News.
"Saat pengguna baru masuk ke server, server akan segera menghentikan semua aktivitas yang 'berisik', dan tetap tidak aktif hingga server kembali tidak aktif. Setelah dijalankan, server akan menghapus binernya dan terus berjalan dengan tenang di latar belakang sebagai layanan."
Perlu dicatat bahwa beberapa aspek kampanye tersebut diungkapkan bulan lalu oleh Cado Security, yang merinci kampanye yang menargetkan instansi Selenium Grid yang terekspos internet dengan perangkat lunak penambangan mata uang kripto dan proxyjacking.
Secara khusus, malware perfctl ditemukan mengeksploitasi kelemahan keamanan di Polkit (CVE-2021-4043, alias PwnKit) untuk meningkatkan hak istimewa ke root dan menjatuhkan penambang yang disebut perfcc.
Alasan di balik nama "perfctl" tampaknya merupakan upaya yang disengaja untuk menghindari deteksi dan berbaur dengan proses sistem yang sah, karena "perf" merujuk pada alat pemantauan kinerja Linux dan "ctl" menandakan kontrol dalam berbagai alat baris perintah, seperti systemctl, timedatectl, dan rabbitmqctl.
Rangkaian serangan, seperti yang diamati oleh perusahaan keamanan cloud terhadap server honeypotnya, melibatkan pelanggaran server Linux dengan mengeksploitasi instans Apache RocketMQ yang rentan untuk mengirimkan muatan bernama "httpd."
Setelah dijalankan, perintah tersebut menyalin dirinya sendiri ke lokasi baru di direktori "/tmp", menjalankan biner baru, mengakhiri proses asli, dan menghapus biner awal dalam upaya untuk menutupi jejaknya.
Selain menyalin dirinya sendiri ke lokasi lain dan memberi dirinya nama yang tampaknya tidak berbahaya, malware tersebut direkayasa untuk menjatuhkan rootkit untuk menghindari pertahanan dan muatan penambang. Beberapa contoh juga memerlukan pengambilan dan pelaksanaan perangkat lunak proxyjacking dari server jarak jauh.
Untuk mengurangi risiko yang ditimbulkan oleh perfctl, disarankan untuk selalu memperbarui sistem dan semua perangkat lunak, membatasi eksekusi file, menonaktifkan layanan yang tidak digunakan, menerapkan segmentasi jaringan, dan menerapkan Kontrol Akses Berbasis Peran (RBAC) untuk membatasi akses ke file penting.
"Untuk mendeteksi malware perfctl, Anda harus mencari lonjakan penggunaan CPU yang tidak biasa, atau perlambatan sistem jika rootkit telah disebarkan di server Anda," kata para peneliti. "Hal ini dapat mengindikasikan aktivitas penambangan kripto, terutama selama waktu senggang."
0 Comments