El malware sigiloso ha infectado miles de sistemas Linux durante años

Otras discusiones incluyen: Reddit, Stack Overflow (español), forobeta (español), Brainycp (ruso), natnetwork (indonesio), Proxmox (alemán), Camel2243 (chino), svrforum (coreano), exabytes, virtualmin, serverfault y muchos otros. .

Después de explotar una vulnerabilidad o una mala configuración, el código de explotación descarga la carga útil principal de un servidor que, en la mayoría de los casos, ha sido pirateado por el atacante y convertido en un canal para distribuir el malware de forma anónima. Un ataque dirigido al honeypot de los investigadores denominó la carga útil httpd. Una vez ejecutado, el archivo se copia de la memoria a una nueva ubicación en el directorio /temp, lo ejecuta y luego finaliza el proceso original y elimina el binario descargado.

Una vez movido al directorio /tmp, el archivo se ejecuta con un nombre diferente, que imita el nombre de un proceso conocido de Linux. El archivo alojado en el honeypot se llamó sh. A partir de ahí, el archivo establece un proceso de comando y control local e intenta obtener derechos del sistema raíz explotando CVE-2021-4043, una vulnerabilidad de escalada de privilegios que fue parcheada en 2021 en Gpac, un marco multimedia de código abierto ampliamente utilizado.

El malware continúa copiándose desde la memoria a un puñado de otras ubicaciones de disco, una vez más utilizando nombres que aparecen como archivos de sistema de rutina. Luego, el malware coloca un rootkit, una serie de utilidades populares de Linux que han sido modificadas para que sirvan como rootkits, y el minero. En algunos casos, el malware también instala software para “secuestro de proxy”, el término para enrutar subrepticiamente el tráfico a través de la máquina infectada para que no se revele el verdadero origen de los datos.

Los investigadores continuaron:

Como parte de su operación de comando y control, el malware abre un socket Unix, crea dos directorios en el directorio /tmp y almacena allí datos que influyen en su funcionamiento. Estos datos incluyen eventos del host, ubicaciones de sus copias, nombres de procesos, registros de comunicación, tokens e información de registro adicional. Además, el malware utiliza variables de entorno para almacenar datos que afectan aún más su ejecución y comportamiento.

Todos los archivos binarios están empaquetados, descomprimidos y cifrados, lo que indica esfuerzos significativos para eludir los mecanismos de defensa y obstaculizar los intentos de ingeniería inversa. El malware también utiliza técnicas de evasión avanzadas, como suspender su actividad cuando detecta un nuevo usuario en los archivos btmp o utmp y eliminar cualquier malware competidor para mantener el control sobre el sistema infectado.

Al extrapolar datos como el número de servidores Linux conectados a Internet a través de diversos servicios y aplicaciones, según el seguimiento de servicios como Shodan y Censys, los investigadores estiman que el número de máquinas infectadas por Perfctl se mide en miles. Dicen que el grupo de máquinas vulnerables, es decir, aquellas que aún no han instalado el parche para CVE-2023-33426 o contienen una configuración errónea vulnerable, es de millones. Los investigadores aún tienen que medir la cantidad de criptomonedas que han generado los mineros maliciosos.

Las personas que quieran determinar si su dispositivo ha sido atacado o infectado por Perfctl deben buscar los indicadores de compromiso incluidos en la publicación del jueves. También deben estar atentos a picos inusuales en el uso de la CPU o ralentizaciones repentinas del sistema, especialmente si ocurren durante tiempos de inactividad. El informe del jueves también proporciona medidas para prevenir infecciones en primer lugar.

Esta historia apareció originalmente en Ars Técnica.

Source link