Вредоносная программа для Linux под названием «perfctl» атакует серверы и рабочие станции Linux уже как минимум три года

Вредоносная программа для Linux под названием «perfctl» атакует серверы и рабочие станции Linux уже как минимум три года, оставаясь практически незамеченной благодаря высокому уровню уклонения и использованию руткитов

Основная цель perfctl — криптомайнинг, использование скомпрометированных серверов для добычи трудноотслеживаемой криптовалюты Monero. Однако его можно легко использовать для более разрушительных операций

При запуске perfctl открывает сокет Unix для внутренних коммуникаций и устанавливает зашифрованный канал с серверами злоумышленника через TOR, что делает невозможным расшифровку обмена.

Затем он устанавливает руткит под названием «libgcwrap.so», который подключается к различным системным функциям для изменения механизмов аутентификации и перехвата сетевого трафика по мере необходимости для облегчения обхода системы безопасности.

Также развертываются дополнительные пользовательские руткиты, заменяющие утилиты ldd, top, crontab и lsof троянизированными версиями, что опять же препятствует прямому обнаружению активности вредоносного ПО.

Наконец, в систему устанавливается майнер XMRIG, который запускается для майнинга Monero с использованием ресурсов ЦП сервера

@linuxkalii

Источник: vk.com

Комментарии: