Des milliers de systèmes Linux infectés par des logiciels malveillants furtifs depuis 2021


La capacité de Perfctl à rester installé et non détecté le rend difficile à combattre.

Des milliers de machines fonctionnant sous Linux ont été infectées par une souche de logiciel malveillant qui se distingue par sa furtivité, le nombre de configurations erronées qu’elle peut exploiter et l’étendue des activités malveillantes qu’elle peut réaliser, ont rapporté des chercheurs jeudi.

Le logiciel malveillant circule depuis au moins 2021. Il s’installe en exploitant plus de 20 000 erreurs de configuration courantes, une capacité qui peut faire de millions de machines connectées à Internet des cibles potentielles, ont déclaré les chercheurs d’Aqua Security. Il peut également exploiter CVE-2023-33426, une vulnérabilité d’une gravité de 10 sur 10 qui a été corrigée l’année dernière dans Apache RocketMQ, une Plateforme de messagerie et de diffusion en continu qui se trouve sur de nombreuses machines Linux.

Tempête Perfctl

Les chercheurs appellent le logiciel malveillant Perfctl, le nom d’un composant malveillant qui extrait subrepticement des crypto-monnaies. Les développeurs inconnus du logiciel malveillant ont donné au processus un nom qui combine l’outil de surveillance Linux perf et ctl, une abréviation couramment utilisée pour les outils de ligne de commande. Perfctl se caractérise par l’utilisation de noms de processus et de fichiers identiques ou similaires à ceux que l’on trouve couramment dans les environnements Linux. La convention de dénomination est l’un des nombreux moyens utilisés par le logiciel malveillant pour tenter d’échapper à la vigilance des utilisateurs infectés.

Perfctl se dissimule encore davantage en utilisant une série d’autres astuces. L’une d’entre elles consiste à installer un grand nombre de ses composants en tant que rootkits, une classe spéciale de logiciels malveillants qui dissimule sa présence au Système d’exploitation et aux outils d’administration. Parmi les autres mécanismes de furtivité, citons

  • L’arrêt d’activités faciles à détecter lorsqu’un nouvel utilisateur se connecte.
  • Utilisation d’un socket Unix via TOR pour les communications externes
  • Suppression de son binaire d’installation après l’exécution et exécution en tant que service d’arrière-plan par la suite.
  • Manipulation du processus Linux pcap_loop par le biais d’une technique connue sous le nom de hooking afin d’empêcher les outils d’administration d’enregistrer le trafic malveillant.
  • Suppression des erreurs mesg pour éviter tout avertissement visible pendant l’exécution.

Le logiciel malveillant est conçu pour assurer sa persistance, c’est-à-dire sa capacité à rester sur la machine infectée après les redémarrages ou les tentatives de suppression des composants principaux. Deux de ces techniques sont (1) la modification du Script ~/.profile, qui configure l’environnement lors de la connexion de l’utilisateur de sorte que le logiciel malveillant se charge avant les charges de travail légitimes censées s’exécuter sur le Serveur et (2) la copie de lui-même de la mémoire vers plusieurs emplacements du disque. L’accrochage de pcap_loop peut également assurer la persistance en permettant aux activités malveillantes de se poursuivre même après que les charges utiles primaires ont été détectées et supprimées.

En plus d’utiliser les ressources de la machine pour miner de la crypto-monnaie, Perfctl transforme également la machine en un proxy lucratif que les clients payants utilisent pour relayer leur trafic Internet. Les chercheurs d’Aqua Security ont également observé que le logiciel malveillant servait de porte dérobée pour installer d’autres familles de logiciels malveillants.

Assaf Morag, directeur de la veille sur les menaces chez Aqua Security, a écrit dans un courriel :

Le logiciel malveillant Perfctl représente une menace importante en raison de sa conception, qui lui permet d’échapper à la détection tout en persistant sur les systèmes infectés. Cette combinaison représente un défi pour les défenseurs et, de fait, le logiciel malveillant a été associé à un nombre croissant de rapports et de discussions sur divers forums, soulignant la détresse et la frustration des utilisateurs qui se retrouvent infectés.

Perfctl utilise un rootkit et modifie certains utilitaires du système pour dissimuler l’activité du cryptomineur et du logiciel de piratage. Il s’intègre parfaitement dans son environnement avec des noms apparemment légitimes. En outre, l’architecture de Perfectl lui permet d’effectuer toute une série d’activités malveillantes, de l’exfiltration de données au déploiement de charges utiles supplémentaires. Sa polyvalence signifie qu’il peut être utilisé à diverses fins malveillantes, ce qui le rend particulièrement dangereux pour les organisations comme pour les particuliers.

« Le logiciel malveillant parvient toujours à redémarrer »

Bien que Perfctl et certains des logiciels malveillants qu’il installe soient détectés par certains logiciels antivirus, les chercheurs d’Aqua Security n’ont pu trouver aucun rapport de recherche sur ces logiciels malveillants. Ils ont toutefois pu trouver une multitude de fils de discussion sur des sites liés aux développeurs qui traitent d’infections compatibles avec ce logiciel.

Ce commentaire Reddit posté sur le subreddit CentOS est typique. Un administrateur a remarqué que deux serveurs étaient infectés par un pirate de crypto-monnaie portant les noms perfcc et perfctl. L’administrateur souhaitait de l’aide pour en déterminer la cause.

« Je n’ai pris conscience du logiciel malveillant que parce que ma configuration de surveillance m’a alerté de l’utilisation à 100 % du processeur », a écrit l’administrateur dans le message du 20 avril 2023. « Cependant, le processus s’arrêtait immédiatement lorsque je me connectais via SSH ou la console. Dès que je me déconnectais, le logiciel malveillant reprenait son exécution en quelques secondes ou minutes. » L’administrateur poursuit :

J’ai tenté de supprimer le logiciel malveillant en suivant les étapes décrites dans d’autres forums, mais en vain. Le logiciel malveillant parvient toujours à redémarrer une fois que je me déconnecte. J’ai également recherché la chaîne « perfcc » dans l’ensemble du système et j’ai trouvé les fichiers énumérés ci-dessous. Cependant, leur suppression n’a pas résolu le problème, car il continue de réapparaître à chaque redémarrage.

D’autres discussions ont eu lieu : Reddit, Stack Overflow (espagnol), forobeta (espagnol), brainycp (russe), Réseau nat (indonésien), Proxmox (Deutsch), Camel2243 (chinois), svrforum (coréen), exabytes,>virtualmin,>serverfault et bien d’autres.

Après avoir exploité une vulnérabilité ou une mauvaise configuration, le code d’exploitation télécharge la charge utile principale à partir d’un serveur qui, dans la plupart des cas, a été piraté par l’attaquant et transformé en canal de distribution anonyme du logiciel malveillant. Une attaque ciblant le pot de miel des chercheurs a nommé la charge utile httpd. Une fois exécuté, le fichier se copie de la mémoire vers un nouvel emplacement dans le répertoire /temp, s’exécute, puis met fin au processus original et supprime le binaire téléchargé.

Une fois déplacé dans le répertoire /tmp, le fichier s’exécute sous un nom différent, qui imite le nom d’un processus Linux connu. Le fichier hébergé sur le pot de miel s’appelait sh. À partir de là, le fichier établit un processus local de commande et de contrôle et tente d’obtenir les droits du système racine en exploitant la CVE-2021-4043, une vulnérabilité d’élévation des privilèges qui a été corrigée en 2021 dans Gpac, un cadre multimédia Open Source largement utilisé.

Le logiciel malveillant se copie ensuite de la mémoire vers une poignée d’autres emplacements du disque, en utilisant une fois de plus des noms qui apparaissent comme des fichiers système de routine. Le logiciel malveillant dépose ensuite un rootkit, une série d’utilitaires Linux populaires qui ont été modifiés pour servir de rootkits, et le mineur. Dans certains cas, le logiciel malveillant installe également un logiciel de « proxy-jacking », terme qui désigne l’acheminement subreptice du trafic via la machine infectée afin que l’origine réelle des données ne soit pas révélée.

Les chercheurs poursuivent :

Dans le cadre de ses opérations de commande et de contrôle, le logiciel malveillant ouvre un socket Unix, crée deux répertoires sous le répertoire /tmp et y stocke des données qui influencent son fonctionnement. Ces données comprennent les événements de l’hôte, l’emplacement des copies de lui-même, les noms des processus, les journaux de communication, les jetons et d’autres informations de journal. En outre, le logiciel malveillant utilise des variables d’environnement pour stocker des données qui influencent davantage son exécution et son comportement.

Tous les binaires sont emballés, dépouillés et cryptés, ce qui témoigne des efforts considérables déployés pour contourner les mécanismes de défense et entraver les tentatives de rétro-ingénierie. Le logiciel malveillant utilise également des techniques d’évasion avancées, telles que la suspension de son activité lorsqu’il détecte un nouvel utilisateur dans les fichiers btmp ou utmp et l’arrêt de tout logiciel malveillant concurrent afin de garder le contrôle du système infecté.

Le diagramme ci-dessous illustre le déroulement de l’attaque :

Crédit :

Aqua Security

L’image suivante montre quelques-uns des noms donnés aux fichiers malveillants installés :

Crédit :

Aqua Security

En extrapolant des données telles que le nombre de serveurs Linux connectés à l’internet par le biais de divers services et Applications, tels que suivis par des services comme Shodan et Censys, les chercheurs estiment que le nombre de machines infectées par Perfctl se chiffre en milliers. Selon eux, le nombre de machines vulnérables – c’est-à-dire celles qui n’ont pas encore installé le correctif pour CVE-2023-33426 ou qui contiennent une mauvaise configuration vulnérable – s’élève à plusieurs millions. Les chercheurs n’ont pas encore mesuré la quantité de crypto-monnaie générée par les mineurs malveillants.

Les personnes qui souhaitent déterminer si leur appareil a été ciblé ou infecté par Perfctl doivent rechercher les indicateurs de compromission mentionnés dans le billet de jeudi. Ils doivent également être attentifs aux pics inhabituels d’utilisation du processeur ou aux ralentissements soudains du système, en particulier s’ils se produisent pendant les périodes d’inactivité. Le rapport de jeudi propose également des mesures pour prévenir les infections.

Jad Marchy
+ posts

Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.

Back to Top
close

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

Hey Friend!
Before You Go…

Get the best viral stories straight into your inbox before everyone else!

Don't worry, we don't spam

Close
Close