Perfctl マルウェアは検出が難しく、再起動後も存続し、さまざまな悪意のあるアクティビティを実行する可能性があります。
写真:ダクク、ゲッティイメージズ
Linux が稼働する数千台のマシンが、ステルス性、悪用可能な設定ミスの数、実行可能な悪意ある活動の幅広さで知られるマルウェアに感染したと研究者らが木曜日に報告した。
このマルウェアは少なくとも2021年から出回っています。Aqua Securityの研究者によると、2万件以上の一般的な設定ミスを悪用してインストールされるため、インターネットに接続された数百万台のマシンが潜在的な標的となる可能性があるとのことです。また、多くのLinuxマシンに搭載されているメッセージングおよびストリーミングプラットフォームであるApache RocketMQに存在する、深刻度10/10の脆弱性CVE-2023-33426も悪用する可能性があります。この脆弱性は昨年修正されました。
完璧な嵐
研究者たちは、このマルウェアを「Perfctl」と呼んでいます。これは、密かに暗号通貨を採掘する悪意のあるコンポーネントの名前です。このマルウェアの正体不明の開発者は、Linux監視ツール「perf」とコマンドラインツールでよく使われる略語「ctl」を組み合わせた名前をこのプロセスに付けました。Perfctlの特徴的な特徴は、Linux環境でよく見られるプロセス名とファイル名と同一または類似した名前を使用していることです。この命名規則は、マルウェアが感染ユーザーの気付かないようにするための多くの方法の一つです。
Perfctlは、他にも様々な手法を用いて自身を隠蔽します。その一つとして、多くのコンポーネントをルートキットとしてインストールすることが挙げられます。ルートキットとは、オペレーティングシステムや管理ツールから存在を隠蔽する特殊なマルウェアです。その他のステルスメカニズムには、以下のようなものがあります。
- 新規ユーザーがログインしたときに簡単に検出できるアクティビティを停止する
- 外部通信にTOR経由のUnixソケットを使用する
- 実行後にインストールバイナリを削除し、その後バックグラウンドサービスとして実行する
- Linuxプロセスpcap_loopをフックと呼ばれる手法で操作し、管理ツールが悪意のあるトラフィックを記録するのを防ぐ
- 実行中に表示される警告を回避するために、メッセージ エラーを抑制します。
このマルウェアは、再起動やコアコンポーネントの削除を試みた後も感染マシン上に残存する永続性を確保するように設計されています。その具体的な手法は2つあります。(1) ~/.profile スクリプトを改変し、ユーザーログイン時に環境を設定することで、サーバー上で実行されることが予想される正当なワークロードよりも先にマルウェアが読み込まれるようにすること、(2) メモリから複数のディスク領域に自身をコピーすることです。pcap_loop のフックも、主要なペイロードが検出され削除された後も悪意のある活動を継続できるようにすることで、永続性を確保します。
Perfctlは、マシンのリソースを仮想通貨のマイニングに利用するだけでなく、有料の顧客がインターネットトラフィックを中継するために利用する、収益を生み出すプロキシマシンとしても機能します。Aqua Securityの研究者は、このマルウェアが他のマルウェアファミリーをインストールするためのバックドアとして機能することも確認しています。
Aqua Security の脅威インテリジェンスディレクターのアサフ・モラグ氏は電子メールで次のように書いている。
Perfctlマルウェアは、感染したシステム上で永続的に活動しながらも検出を回避できる設計により、深刻な脅威として際立っています。この組み合わせは防御側にとって課題となっており、実際、このマルウェアに関する報告や議論は様々なフォーラムで増加しており、感染したユーザーの苦悩とフラストレーションを浮き彫りにしています。
Perfctlはルートキットを使用し、システムユーティリティの一部を変更することで、暗号通貨マイナーおよびプロキシジャッキングソフトウェアの活動を隠蔽します。一見正当な名前を装い、環境にシームレスに溶け込みます。さらに、Perfctlのアーキテクチャは、データの窃取から追加のペイロードの展開まで、幅広い悪意のある活動を可能にします。その汎用性により、様々な悪意のある目的に利用される可能性があり、組織と個人の両方にとって特に危険です。
「マルウェアは常に再起動する」
Perfctlとそれがインストールするマルウェアの一部は一部のウイルス対策ソフトウェアで検出されますが、Aqua Securityの研究者はこれらのマルウェアに関する調査レポートを見つけることができませんでした。しかし、開発者関連サイトでは、Perfctlに一致する感染について議論するスレッドが多数見つかりました。
CentOSのサブレディットに投稿されたこのRedditコメントは典型的なものです。管理者は、2台のサーバーがperfccとperfctlという名前の暗号通貨ハイジャッカーに感染していることに気づき、原因調査の協力を求めました。
「監視設定でCPU使用率が100%になったという警告が出たことで、マルウェアの存在に気付きました」と、管理者は2023年4月の投稿で述べています。「しかし、SSHまたはコンソール経由でログインすると、プロセスはすぐに停止しました。ログアウトするとすぐに、マルウェアは数秒または数分以内に動作を再開しました。」管理者は続けてこう述べています。
他のフォーラムで紹介されている手順でマルウェアの削除を試みましたが、効果はありませんでした。ログアウトすると必ずマルウェアが再起動してしまいます。また、システム全体で「perfcc」という文字列を検索し、以下のファイルも見つけました。しかし、これらを削除しても問題は解決せず、再起動するたびにマルウェアが再び現れます。
その他のディスカッションには、Reddit、Stack Overflow (スペイン語)、forobeta (スペイン語)、brainycp (ロシア語)、natnetwork (インドネシア語)、Proxmox (ドイツ語)、Camel2243 (中国語)、svrforum (韓国語)、exabytes、virtualmin、serverfault などがあります。
脆弱性や設定ミスを悪用した後、エクスプロイトコードはサーバーからメインのペイロードをダウンロードします。多くの場合、サーバーは攻撃者によってハッキングされ、マルウェアを匿名で配布するためのチャネルに変換されています。研究者のハニーポットを標的とした攻撃では、このペイロードは「httpd」と名付けられていました。実行されると、ファイルはメモリから/tempディレクトリ内の新しい場所に自身をコピーし、実行した後、元のプロセスを終了してダウンロードしたバイナリを削除します。
/tmpディレクトリに移動されたファイルは、既知のLinuxプロセス名を模倣した別の名前で実行されます。ハニーポットにホストされていたファイルはshという名前でした。そこからファイルはローカルのコマンドアンドコントロールプロセスを確立し、CVE-2021-4043を悪用してルートシステム権限の取得を試みます。CVE-2021-4043は、広く使用されているオープンソースのマルチメディアフレームワークであるGpacに2021年に修正された権限昇格の脆弱性です。
マルウェアはメモリから他のいくつかのディスク領域に自身をコピーしますが、ここでも通常のシステムファイルの名前が使用されます。その後、ルートキット、ルートキットとして機能するように改変された多数の一般的なLinuxユーティリティ、そしてマイナーがドロップされます。場合によっては、「プロキシジャッキング」用のソフトウェアもインストールされます。プロキシジャッキングとは、データの真の出所が明らかにならないように、感染したマシンを介してトラフィックを密かにルーティングすることを意味します。
研究者らはこう続けた。
このマルウェアは、コマンド&コントロール(C&C)操作の一環として、Unixソケットを開き、/tmpディレクトリの下に2つのディレクトリを作成し、そこに自身の動作に影響を与えるデータを保存します。このデータには、ホストイベント、自身のコピーの場所、プロセス名、通信ログ、トークン、その他のログ情報が含まれます。さらに、このマルウェアは環境変数を使用して、自身の実行と動作にさらに影響を与えるデータを保存します。
すべてのバイナリは圧縮、ストリップ、暗号化されており、防御機構を回避し、リバースエンジニアリングの試みを阻止するための多大な努力が伺えます。また、このマルウェアは高度な回避技術も使用しており、例えば、btmpファイルまたはutmpファイルで新しいユーザーを検出すると活動を停止したり、競合するマルウェアを終了させて感染システムの制御を維持したりします。
ShodanやCensysなどのサービスによって追跡されている、様々なサービスやアプリケーションでインターネットに接続されているLinuxサーバーの台数などのデータから推定することで、研究者たちはPerfctlに感染したマシンの数は数千台規模に上ると推定しています。脆弱なマシン(CVE-2023-33426のパッチをまだインストールしていない、または脆弱な設定ミスを含むマシン)の数は数百万台規模に上ると研究者らは述べています。悪意のあるマイナーによって生成された暗号通貨の量は、まだ計測されていません。
自分のデバイスがPerfctlの標的になったり感染したりしていないか確認したい人は、木曜日の投稿に含まれる侵入の兆候(IOC)に注目してください。また、CPU使用率の異常な急上昇やシステムの急激な速度低下にも注意が必要です。特にアイドル時に発生する場合は注意が必要です。木曜日のレポートでは、感染を未然に防ぐための対策も紹介されています。
このストーリーはもともと Ars Technica に掲載されました。
あなたの受信箱に:毎日あなたのために厳選された最大のニュース
Dan Goodin 氏は Ars Technica の IT セキュリティ エディターです。... 続きを読む
