Weitere Diskussionen umfassen: Reddit, Stack Overflow (Spanisch), forobeta (Spanisch), brainycp (Russisch), natnetwork (Indonesisch), Proxmox (Deutsch), Camel2243 (Chinesisch), svrforum (Koreanisch), Exabytes, Virtualmin, Serverfault und viele andere . .
Nach dem Ausnutzen einer Schwachstelle oder Fehlkonfiguration lädt der Exploit-Code die Hauptnutzlast von einem Server herunter, der in den meisten Fällen vom Angreifer gekapert und in einen anonymen Verbreitungskanal der Malware umgewandelt wurde. Ein Angriff, der auf den Honeypot der Forscher abzielte, nannte die Nutzlast httpd. Nach der Ausführung kopiert sich die Datei aus dem Speicher an einen neuen Speicherort im Verzeichnis /temp, führt sie aus, beendet dann den ursprünglichen Prozess und löscht die heruntergeladene Binärdatei.
Nach dem Verschieben in das Verzeichnis /tmp wird die Datei unter einem anderen Namen ausgeführt, der dem Namen eines bekannten Linux-Prozesses nachempfunden ist. Die im Honeypot gehostete Datei hieß sh. Von dort aus richtet die Datei einen lokalen Befehls- und Steuerungsprozess ein und versucht, Root-Systemrechte zu erlangen, indem sie CVE-2021-4043 ausnutzt, eine Sicherheitslücke zur Erhöhung von Berechtigungen, die 2021 in Gpac, einem weit verbreiteten Open-Source-Multimedia-Framework, gepatcht wurde.
Die Malware kopiert sich dann aus dem Speicher auf eine Handvoll anderer Speicherorte auf der Festplatte und verwendet dabei wiederum Namen, die wie routinemäßige Systemdateien aussehen. Anschließend entfernt die Malware ein Rootkit, eine Vielzahl beliebter Linux-Dienstprogramme, die so modifiziert wurden, dass sie als Rootkits dienen, sowie den Miner. In einigen Fällen installiert die Malware auch „Proxy-Jacking“-Software, ein Begriff, der verwendet wird, um Datenverkehr heimlich durch den infizierten Computer zu leiten, sodass der wahre Ursprung der Daten nicht preisgegeben wird.
Die Forscher fuhren fort:
Durch Extrapolation von Daten wie der Anzahl der Linux-Server, die über verschiedene Dienste und Anwendungen mit dem Internet verbunden sind und die von Diensten wie Shodan und Censys erfasst werden, schätzen Forscher, dass die Anzahl der von Perfctl infizierten Maschinen in die Tausende geht. Sie behaupten, dass der Pool anfälliger Maschinen, also solcher, auf denen der Patch für CVE-2023-33426 noch nicht installiert ist oder die eine anfällige Fehlkonfiguration aufweisen, in die Millionen geht. Forscher haben die Menge der von böswilligen Minern generierten Kryptowährungen noch nicht gemessen.
Personen, die herausfinden möchten, ob ihr Gerät von Perfctl angegriffen oder infiziert wurde, sollten nach den in der Nachricht vom Donnerstag enthaltenen Indikatoren für eine Kompromittierung suchen. Sie sollten auch auf ungewöhnliche Spitzen in der CPU-Auslastung oder plötzliche Systemverlangsamungen achten, insbesondere wenn diese in Zeiten der Inaktivität auftreten. Der Bericht vom Donnerstag sieht auch Maßnahmen vor, um Infektionen von vornherein zu verhindern.
Diese Geschichte wurde ursprünglich auf veröffentlicht Ars Technica.