Perfctl: un lobo con piel de cordero entre los procesos Linux
Una amenaza oculta acecha en las profundidades de su sistema operativo.
Recientemente, investigadores de la empresa Aqua Security descubrieron una campaña de ataques a servidores Linux vulnerables utilizando un malware oculto llamado perfctl. El objetivo principal de este programa es utilizar los recursos de los servidores comprometidos para el minado encubierto de criptomonedas y la explotación de proxies.
Perfctl se caracteriza por un alto grado de sigilo y resiliencia gracias al uso de varios métodos avanzados. Como señalan los investigadores Assaf Morag e Idan Revivo, cuando un nuevo usuario ingresa al servidor, el malware detiene sus actividades "ruidosas" y entra en modo de suspensión hasta que el servidor quede inactivo. Una vez activado, el malware elimina su archivo binario y sigue operando en segundo plano como un servicio del sistema.
Algunos aspectos de este ataque ya habían sido detectados previamente por la empresa Cado Security, que descubrió una campaña de ataque contra instancias de Selenium Grid expuestas en Internet con fines de criptominería y secuestro de proxies.
La particularidad de perfctl radica en el uso de una vulnerabilidad en Polkit ( CVE-2021-4043, también conocida como PwnKit), que permite elevar privilegios a nivel de root e implementar un minero llamado perfcc. El nombre "perfctl" se elige intencionalmente para camuflarse como procesos legítimos del sistema, ya que "perf" se asocia con la herramienta de monitoreo de rendimiento de Linux y "ctl" se utiliza comúnmente en varias utilidades de comandos.
El ataque comienza con la explotación de un servidor Linux a través de una instancia vulnerable de Apache RocketMQ, donde se carga un archivo malicioso bajo el nombre "httpd". Una vez ejecutado, se copia a un nuevo directorio "/tmp", elimina el archivo binario original y continúa sus actividades desde su nueva ubicación.
Además, perfctl se disfraza como procesos inofensivos, crea un rootkit para evadir mecanismos de seguridad e implementa una carga útil de minería. En ciertos casos, se descarga y ejecuta software de secuestro de proxies desde un servidor remoto.
Para protegerse de perfctl, se recomienda actualizar los sistemas y el software de manera oportuna, restringir la ejecución de archivos, desactivar servicios no utilizados, aplicar segmentación de red y utilizar modelos de gestión de acceso basados en roles (RBAC) para limitar el acceso a archivos críticos.
Los investigadores enfatizan que la presencia de perfctl se puede detectar por picos inesperados en el uso de la CPU o una ralentización del sistema, algo particularmente común con la implementación de rootkits y la minería activa durante los períodos de inactividad del servidor.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?