Výzkumníci společnosti Aqua Nautilus zveřejnili na svém blogu příspěvek, ve kterém odhalili své poznatky o specifickém linuxovém malwaru s názvem „Perfctl“, který se v posledních třech až čtyřech letech zaměřuje na linuxové servery a jako vektory útoku využívá „více než 20 000 typů chybných konfigurací“. Jakmile zneužití začalo, malware používal rootkit ke svému skrytí a nevyhnutelně začal krást prostředky procesoru pro využití k těžbě kryptoměn. Skrýval těžební provoz a potenciální instrukce pro zadní dveře příkazů a sledování prostřednictvím provozu šifrovaného přes Tor.
Tento malware Perfctl je poměrně závažnou a trvalou hrozbou, vezmeme-li v úvahu, jak dlouho zůstával ve volné přírodě. Zákeřná těžba kryptoměn by byla dost špatná, ale Perfctl může také získat větší backdoor přístup do celého systému prostřednictvím určitých vektorů, což by se mohlo ukázat jako ještě větší bezpečnostní problém. Při diagnostice napadených serverů je také obtížné správně odhalit unesené procesy. Může před vámi zcela skrýt svou aktivitu v oblasti těžby kryptografických dat a házet zpět čísla o využití procesoru, která jeho činnost opomíjejí.
Naštěstí existují opatření, která mohou provozovatelé serverů přijmout, aby zmírnili hrozbu, kterou Perfctl představuje.
Doporučená opatření pro zmírnění škodlivého softwaru Perfctl od Aqua Nautilus:
1. Záplatování všech potenciálních zranitelností, zejména zranitelností aplikací, jako jsou servery RocketMQ a zranitelnost Polkit. Doporučuje se udržovat knihovny v aktuálním stavu.
2. Omezení spouštění souborů nastavením „noexec“ na adresářích /tmp, /dev/svm a „other writable directories, které se používají ke spuštění tohoto malwaru.
3. Zakázat volitelné a nepoužívané služby, zejména „ty, které mohou vystavit systém vnějším útočníkům, jako jsou služby http“.
4. Implementujte přísnou správu oprávnění omezením přístupu root ke kritickým souborům a adresářům a také použitím řízení přístupu na základě rolí (RBAC) k omezení toho, k čemu mohou uživatelé a procesy přistupovat nebo co mohou měnit.
5. Segmentujte síť tak, že buď izolujete kritické servery od internetu, nebo pomocí firewallů zablokujete odchozí komunikaci, „zejména provoz Tor nebo připojení k poolům pro těžbu kryptografických dat“.
6. Nakonec nasaďte ochranu za běhu pomocí „pokročilých antimalwarových a behaviorálních detekčních nástrojů, které dokáží odhalit rootkity, kryptografické minery a malware bez souborů, jako je Perfctl“.
Doufejme, že provozovatelé serverů se nyní mohou tomuto zneužití vyhnout nebo ho opravit, pokud je přítomno, když je toto zneužití a jeho zmírnění tak dobře zdokumentováno. Podrobnější informace o tom, jak útoky fungovaly a co se Aqua Nautilus dozvěděl díky honey-pottingu a sandboxu, najdete v celém několikastránkovém blogovém příspěvku dokumentujícím tento problém na webu AquaSec.
Jinak, pokud nejste provozovatelem linuxového serveru, doufejte, že vaše informace nejsou na žádném z linuxových serverů, které již byly tímto problémem ohroženy, a ujistěte se, že v každodenním životě dodržujete správné postupy kybernetické bezpečnosti.
Zdroj: tomshardware.com