Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux-
вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус Perfctl заразил с 2021
года тысячи
серверов и скрытно майнит на
нихкриптовалюту• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта
Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux-вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус Perfctl заразил с 2021 года тысячи серверов и скрытно майнит на
них криптовалюту• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта
05.10.2024 [14:28], Павел Котов
Обнаружено опасное вредоносное ПО Perfctl, которому удалось заразить несколько
тысяч машин под управлением Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux. Вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус отличают скрытые механизмы работы,
способность эксплуатировать широкий набор ошибок в конфигурации, а также
большой ассортимент вредоносных действий, которые он может выполнять.
Источник изображений: aquasec.com
Perfctl работает как минимум с 2021 года. Он устанавливается, эксплуатируя
более 20 000 распространенных ошибок конфигурации, а значит, его
потенциальными целями могут оказаться миллионы подключенных к интернету машин,
говорят специалисты по вопросам кибербезопасности• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность из компании Aqua Security .
Вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус также может эксплуатировать уязвимость• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность системы Apache RocketMQ за
номером CVE-2023-33246 с рейтингом• Рейтинги » Рейтинг 10 из 10, которая была закрыта в прошлом
году. Вредонос получил название Perfctl в честь компонента, который занимается
скрытой добычей криптовалют• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта, — имя составлено из названий средств
мониторинга perf и ctl в Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux. Для вируса• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус характерно использование имен
процессов или файлов, идентичных или похожих на легитимные в Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux.
Вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус маскируется, прибегая и к множеству других трюков. Многие из своих
компонентов он устанавливает как руткиты — особый класс вредоносов,
способных скрывать свое присутствие от операционной системы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы и инструментов
администрирования. Другие скрытые механизмы Perfctl:
приостановка поддающихся легкому обнаружению действий, когда пользователь
входит в систему;
использование сокета Unix через Tor для внешней связи;
удаление двоичного файла• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл после установки и последующий запуск в качестве
фоновой службы;
манипуляции с процессом Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux pcap_loop, мешающие зафиксировать вредоносный
трафик;
подавление ошибок mesg, пресекающее вывод предупреждения во время выполнения.
Вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус способен оставаться на зараженной машине после перезагрузок или попыток
удаления основных компонентов. Для этого он может настроить среду во время
входа пользователя и загрузиться раньше легитимных рабочих нагрузок, а также
копировать себя из памяти в несколько мест на диске. Perfctl не только
занимается майнингом• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта, но и превращает машину в прокси-сервер, за
доступ к которому хакеры взимают плату с тех, кто хочет оставаться анонимным.
Кроме того, вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус служит бэкдором для установки вредоносов других семейств.
Воспользовавшись уязвимостью• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность или ошибкой конфигурации, код эксплойта• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Эксплойт загружает
основную полезную нагрузку с сервера, который был взломан ранее и превратился
в канал распространения вирусов• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус — в одном из случаев такая полезная
нагрузка называлась «httpd». После выполнения файл копирует себя
из памяти в новое место назначения в каталоге «/tmp», запускает
его, удаляет исходный процесс и загруженный двоичный файл• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл. Переместившись в
каталог «/tmp», файл выполняется под другим именем, которое
имитирует имя известного процесса Linux• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux — в одном из случаев он получил
название «sh», — оттуда он устанавливает локальный процесс
управления и контроля, а также пытается получить права root, эксплуатируя
уязвимость• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность CVE-2021-4043 открытого мультимедийного фреймворка Gpac, которая
была закрыта в 2021 году.
Вирус• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус продолжает копировать себя из памяти в несколько других мест на диске,
используя имена, которые отображаются как обычные системные файлы. Далее
устанавливается множество популярных утилит Linux, модифицированных для работы
в качестве руткитов, и майнер. Для передачи управления стороннему оператору
Perfctl открывает сокет Unix, создает два каталога и сохраняет там данные,
которые необходимые для его работы: события хоста, местоположение копий, имена
процессов, журналы связи, токены и дополнительная информация. Все двоичные
файлы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Двоичный файл пакуются, шифруются и удаляются — это помогает обходить защитные
механизмы и препятствует попыткам обратной разработки вируса• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус. Perfctl
приостанавливает работу, обнаруживая присутствие пользователя в файлах btmp
или utmp, а также блокирует конкурирующие вирусы• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус, чтобы сохранять контроль над
зараженной системой.
Число зараженных Perfctl машин, по подсчетам экспертов, измеряется тысячами,
но количество уязвимых машин — на которых не установлен патч от
CVE-2023-33246 или присутствует неправильная конфигурация — исчисляется
миллионами. Объемы добытой скрытными майнерами криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта исследователи еще
не подсчитали. Есть много признаков заражения — в частности, необычные
всплески загрузки процессора или внезапные замедления работы системы, особенно
во время простоя. Чтобы предотвратить заражение, необходимо закрыть на машине
уязвимость• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Эксплойт
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
• Безопасность » Компьютерная безопасность CVE-2023-33246 и исправить ошибки конфигурации, на которые указали
специалисты Aqua Security.
Источник:
Ars Technica
