Aqua Security 的研究人员上周透露，数以千计的 Linux 系统可能感染了极难追踪且持久的“perfctl”（或“ perfcc ”）加密挖掘恶意软件，许多其他系统仍然面临被入侵的风险。

在观察到的所有攻击中，恶意软件都被用来运行加密矿工，在某些情况下，我们还检测到代理劫持软件的执行。

“Perfctl”恶意软件

虽然实际的加密挖掘是由 XMRIG Monero 加密挖掘软件执行的，但该恶意软件的名称 perfctl 源自受影响系统上建立的加密挖掘程序进程的名称。（受影响的用户多年来一直在网上论坛上寻找补救建议，该进程被反复提及。）

“通过将‘perf’（Linux 性能监控工具）与‘ctl’（通常用于表示命令行工具中的控制）结合起来，恶意软件作者精心设计了一个看似合法的名称。

这使得用户或管理员在初步调查期间更容易忽视它，因为它与典型的系统进程融合在一起。

威胁行为者通过利用已知漏洞（例如 RocketMQ）或 20,000 种错误配置（例如 Selenium Grid 的默认配置缺乏身份验证）来安装恶意软件。

最初下载的有效载荷（安装二进制文件实际上是一个多用途恶意软件植入程序）会将自身从内存复制到/tmp目录中的新位置，并从那里运行新的二进制文件。

原始进程和二进制文件被终止/删除，而新的进程和二进制文件则充当植入程序和本地命令与控制 (C2) 进程。

“perfctl”攻击流程

恶意软件：

🔸包含并使用CVE-2021-4034 （又名 PwnKit）漏洞来尝试获取完全 root 权限；

🔸修改现有脚本以确保恶意软件的执行并抑制mesg错误（可能指向恶意执行），并删除用于验证主要有效载荷执行的二进制文件；

🔸将自身从内存复制到其他六个位置（文件名模仿常规系统文件的名称）；

🔸放置 rootkit 来隐藏其存在并确保持久性、改变网络流量等；

🔸植入多个木马化的 Linux 实用程序来隐藏特定的攻击元素（例如，攻击期间创建的 cron 作业、加密货币矿工的 CPU 消耗、恶意软件使用的恶意库和依赖项），以防止开发人员或安全工程师指出攻击机器的因素；

🔸使用 TOR 上的 Unix 套接字进行外部通信；

🔸删除并执行 XMRIG 加密矿工，有时还会执行代理劫持软件（将机器接入代理网络）。

这种恶意软件的另一个有趣之处是，它很低调，即当新用户登录服务器时，它会停止所有加密挖掘活动，受影响的用户指出了这一点。

检测、删除和缓解措施

对于加密劫持而言，攻击者隐藏攻击行为的时间越长，他们最终“赚”的钱就越多。

这就是为什么攻击者不遗余力地实现隐秘和持久性的原因。

虽然有些用户可能不会太在意他们的系统在一段时间内被用于加密挖掘或代理，但他们应该重新考虑他们的立场，因为危险可能比他们想象的更大。

研究人员指出：“我们还发现该恶意软件可以充当安装其他恶意软件家族的后门。”

通过检查目录、进程、系统日志和网络流量，可以发现系统中的“perfctl”恶意软件。Aqua为 Linux 系统的用户和管理员分享了入侵指标和风险缓解建议。

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/