Aqua Security 的研究人员上周透露,数以千计的 Linux 系统可能感染了极难追踪且持久的“perfctl”(或“ perfcc ”)加密挖掘恶意软件,许多其他系统仍然面临被入侵的风险。
在观察到的所有攻击中,恶意软件都被用来运行加密矿工,在某些情况下,我们还检测到代理劫持软件的执行。
“Perfctl”恶意软件
虽然实际的加密挖掘是由 XMRIG Monero 加密挖掘软件执行的,但该恶意软件的名称 perfctl 源自受影响系统上建立的加密挖掘程序进程的名称。(受影响的用户多年来一直在网上论坛上寻找补救建议,该进程被反复提及。)
“通过将‘perf’(Linux 性能监控工具)与‘ctl’(通常用于表示命令行工具中的控制)结合起来,恶意软件作者精心设计了一个看似合法的名称。
这使得用户或管理员在初步调查期间更容易忽视它,因为它与典型的系统进程融合在一起。
威胁行为者通过利用已知漏洞(例如 RocketMQ)或 20,000 种错误配置(例如 Selenium Grid 的默认配置缺乏身份验证)来安装恶意软件。
最初下载的有效载荷(安装二进制文件实际上是一个多用途恶意软件植入程序)会将自身从内存复制到/tmp目录中的新位置,并从那里运行新的二进制文件。
原始进程和二进制文件被终止/删除,而新的进程和二进制文件则充当植入程序和本地命令与控制 (C2) 进程。
“perfctl”攻击流程
恶意软件:</
最低0.47元/天 解锁文章
扫一扫
988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
