In der digitalen Welt, die von ständigen Bedrohungen und Angriffen geprägt ist, gibt es immer neue Herausforderungen, die sowohl Unternehmen als auch Privatpersonen in allen Bereichen betreffen. Eine der jüngsten Bedrohungen auf dem Radar der Cybersicherheitsforscher ist die Linux-Malware namens „perfctl“. Diese Malware ist Teil einer langfristigen Krypto-Mining-Kampagne, die über mehrere Jahre hinweg eine beträchtliche Anzahl von Linux-Servern und -Workstations ins Visier genommen hat. Die Malware blieb über einen erstaunlich langen Zeitraum unentdeckt, was auf fortgeschrittene Techniken zur Vermeidung von Erkennung hindeutet. Forscher von Aqua Nautilus haben herausgefunden, dass die perfctl-Schadsoftware in den letzten drei Jahren Millionen von Linux-Servern ins Visier genommen hat, wobei die Infektionen in tausenden von Fällen tatsächlich auftreten konnten.
Diese Behauptung basiert auf einer Vielzahl von Berichten von Opfern der Malware, die in Online-Foren eingereicht wurden und spezifische Indikatoren für Kompromittierungen aufwiesen, die mit der Aktivität von perfctl übereinstimmten. Die Hauptmotivation hinter der perfctl-Malware besteht darin, die kompromittierten Systeme für das Krypto-Mining zu nutzen, insbesondere für die schwer zurückverfolgbare Monero-Kryptowährung. Während der primäre Fokus auf dem Mining liegt, könnte die Malware theoretisch auch für andere, weitaus schädlichere Operationen verwendet werden. Die Infektionskette dieser Malware ist dabei besonders alarmierend. Laut den Forschern wird perfctl durch das Ausnutzen von Fehlkonfigurationen oder offengelegten Geheimnissen in Linux-Servern verbreitet.
Diese Fehlkonfigurationen reichen von öffentlich zugänglichen Dateien mit sensiblen Anmeldedaten bis hin zu exponierten Login-Schnittstellen. Eine besondere Schwachstelle, die untersucht wurde, ist die CVE-2023-33246, ein Remote-Command-Execution-Fehler, der das Apache RocketMQ betrifft, sowie die CVE-2021-4034, auch als PwnKit bekannt, die eine Erhöhung der Berechtigungen in Polkit ermöglicht. Sobald ein Angreifer Zugang zu einem Server erhält, wird eine obfuscierte (verschlüsselte) Nutzlast, die intern als „httpd“ bezeichnet wird, von den Servern der Angreifer heruntergeladen und ausgeführt. Diese Nutzlast kopiert sich selbst im Verzeichnis /tmp und wird dort unter dem Namen „sh“ abgelegt, während die ursprüngliche Datei gelöscht wird. Damit mischt sich der Prozess mit normalen Linux-Systemoperationen und besteht weniger ob der Erkennung durch das System.
Zusätzlich werden Kopien der Malware an anderen Orten im System abgelegt, wie zum Beispiel im Verzeichnis „/root/.config“, „/usr/bin/“ und „/usr/lib“. Dadurch wird eine Persistenz geschaffen, die sicherstellt, dass die Malware selbst im Falle einer Bereinigung des Systems bestehen bleibt. Bei der Ausführung öffnet perfctl einen Unix-Socket für interne Kommunikation und etabliert einen verschlüsselten Kanal zu den Servern des Angreifers über das TOR-Netzwerk. Dies bedeutet, dass es nahezu unmöglich ist, den Datenverkehr zu entschlüsseln und die Kommunikation nachzuvollziehen.
Ein weiterer besorgniserregender Aspekt ist die Implementierung eines Rootkits, bekannt als 'libgcwrap.so', das in verschiedene Systemfunktionen eingreift, um Authentifizierungsmechanismen zu modifizieren und Netzwerkverkehr abzufangen, was die Erkennung der Malware erschwert. Perfctl ersetzt auch gängige Systemwerkzeuge wie ldd, top, crontab und lsof durch Trojanisierte Versionen, sodass die Arbeiten der Malware vor gängigen Erkennungsmethoden verborgen bleiben. Ein miner, das XMRIG-Tool, wird schließlich auf dem System installiert und verwendet die CPU-Ressourcen des Servers, um Monero zu schürfen. Die Kommunikation mit den Mining-Pools geschieht ebenfalls über TOR, wodurch der gesamte Datenverkehr verschleiert und die Erlöse schwer zurückverfolgbar bleiben.
Viele Benutzer beginnen erst dann, Verdacht zu schöpfen, wenn sie feststellen, dass ihre Server durch die hochtechnologisierte Malware eine CPU-Auslastung von 100 % haben. Dabei ist „perfctl“ besonders geschickt in der Art und Weise, wie es operiert: Die Mining-Aktivitäten werden sofort gestoppt, sobald ein Benutzer sich über SSH oder eine Konsole in das System einloggt. Loggt der Benutzer sich wieder aus, nimmt die Malware ihre Arbeit innerhalb weniger Sekunden oder Minuten wieder auf. Diese Beharrlichkeit ist besonders besorgniserregend für Systemadministratoren, da sie oft nicht zu dem Schluss kommen können, dass das System infiziert ist, bis es zu spät ist. Das Entfernen dieser Malware stellt eine erhebliche Herausforderung dar.
Da die Infektion legitime Linux-Dateien ändert und ersetzt, empfehlen die Experten, das infizierte Gerät vollständig zu formatieren und neu zu installieren, um sicherzustellen, dass nichts zurückbleibt. Um perfctl zu erkennen und anzugreifen, schlagen die Forscher von Aqua Nautilus mehrere Verfahren vor, die sich in vier Hauptkategorien unterteilen lassen: Systemüberwachung, Analyse des Netzwerkverkehrs, Überwachung der Integrität von Dateien und Prozessen sowie proaktive Maßnahmen zur Eindämmung der Malware. Zu den spezifischen Empfehlungen gehören regelmäßige Inspektionen der Verzeichnisse "/tmp", "/usr" und "/root" nach verdächtigen Binärdateien, die sich als legitime Systemdateien ausgeben. Systemadministratoren sollten außerdem CPU-Spitzenlasten und Prozesse wie „httpd“ und „sh“ überwachen, die aus unerwarteten Verzeichnissen ausgeführt werden. Skrupulöse Überprüfungen der Dateien ".
profile", ".bashrc" und "/etc/ld.so.preload" sind ebenfalls ratsam, um nicht autorisierte Modifikationen zu identifizieren. Ein weiterer wichtiger Punkt ist die Überwachung des Netzwerkverkehrs auf TOR-basierte Verbindungen zu externen IP-Adressen und das Blockieren bekannter IP-Adressen, die in Berichten über die Indikatoren für Kompromittierung identifiziert wurden.
Es ist entscheidend, alle bekannten Schwachstellen auf internetzugänglichen Anwendungen, wie den RocketMQ-Servern oder Polkit/PwnKit, zu beheben. Abschließend zeigt dieses Beispiel, wie wichtig Cybersicherheit in unserer zunehmend digitalisierten Welt geworden ist. Organisationen müssen wachsam bleiben und sicherstellen, dass sie nicht nur die richtige Software verwenden, sondern auch bewährte Verfahren befolgen, um sich gegen Angriffe abzusichern. Angesichts der anhaltenden Bedrohung durch Malware wie perfctl sind proaktive Maßnahmen nicht nur sinnvoll, sondern unverzichtbar.
