Hier soir, les chercheurs en sécurité Aqua Security ont publié un article détaillé sur le malware Perfctl. Ils mettent en garde les utilisateurs contre ses capacités, qui allient une grande discrétion à une persévérance tenace. Sa détection n’est pas assurée et les chercheurs estiment que le nombre de configurations vulnérables se compte en millions.
Le nom du malware, donné par les chercheurs, est une agrégation de Perf, un outil d’analyse des performances, et de ctl, une abréviation courante pour les outils de ligne de commande. Selon Aqua Security, ce malware circule depuis au moins 2021 et est présent sur au moins plusieurs milliers de configurations, principalement des serveurs.
Un roi de l’évasion et de la persévérance
Perfctl a de nombreuses fonctionnalités. Dès qu’il est installé sur une machine, il supprime son binaire et continue de s’exécuter en arrière-plan. En même temps, il se copie de la mémoire vers plusieurs emplacements de stockage. Il se cache derrière des noms apparemment anodins, semblables à des fichiers système, pour tromper la vigilance. Aqua Security a résumé ces noms dans un graphique :
Le malware modifie également le script ~/.profile (configuration de l’environnement lors de la connexion de l’utilisateur) pour garantir qu’il est exécuté lors de la connexion. Il dispose également d’un rootkit qui s’exécute à chaque redémarrage de l’ordinateur.
Perfctl est également discret. En plus des mesures évoquées ci-dessus, il peut mettre fin automatiquement à toutes ses activités « bruyantes » lorsqu’un utilisateur se connecte à la machine. Ses différents composants communiquent en interne en ouvrant des sockets Unix et en externe via des relais Tor.
Il sait également manipuler le processus pcap_loop (via une technique d’interception) pour empêcher les outils d’administration d’enregistrer du trafic qui pourrait être perçu comme malveillant. Le détournement de pcap_loop contribue également à la persistance, permettant aux activités malveillantes de se poursuivre lorsque les charges utiles ont été détectées et supprimées. De plus, Perfctl peut supprimer les erreurs de messagerie pour empêcher l’apparition d’avertissements pendant l’exécution.
Une provenance incertaine
Beaucoup de flou entoure Perfctl, malgré les nombreux détails découverts par les chercheurs. Ils ne savent pas d’où cela vient, ni quel groupe malveillant pourrait être derrière cela. Aqua Security considère cependant que le niveau de technicité est très élevé. L’accumulation de méthodes prouve que le(s) auteur(s) connaissent parfaitement le fonctionnement de Linux.
Il est tout aussi difficile de savoir combien de machines sont infectées. Perfctl cherche d’abord à exploiter certaines failles, dont CVE-2023-33426, une vulnérabilité critique de danger maximum (10 sur 10) dans Apache RocketMQ. Même s’il n’en trouve pas, il peut toujours recourir à d’autres moyens, en exploitant plus de 20 000 erreurs courantes dans les configurations. Dans ce cas, il tente d’exploiter la faille CVE-2021-4043 de Gpac pour obtenir les droits root.
La détection est d’autant plus difficile que Perfctl arrête ses activités les plus visibles dès l’ouverture d’une session, comme déjà précisé. Les chercheurs mettent en avant de nombreuses conversations sur des comportements étranges sur leurs serveurs, notamment sur Reddit. ” Je n’ai pris conscience du malware que lorsque ma configuration de surveillance m’a alerté d’une utilisation à 100 % du processeur. Cependant, le processus s’est arrêté immédiatement lorsque je me suis connecté via SSH ou la console. Dès que je me déconnecte, le malware reprend en quelques secondes ou minutes », écrit un administrateur.
Il existe d’autres discussions du même type, dans diverses langues, sur des sites comme Stack Overflow, forobeta, brainycp ou encore Proxmox. Sur la base de ces témoignages, les chercheurs d’Aqua ne peuvent pas être certains qu’il s’agisse bien de Perfctl, mais ils indiquent que les symptômes correspondent.
À quoi sert Perfctl ?
Le malware est tenace et furtif, mais à quelles fins est-il utilisé ? Les pics de consommation CPU donnent un indice : il sert principalement à miner la cryptomonnaie Monero en installant le cryptominer XMRIG. Les surtensions CPU de 100 % proviennent du minage, extrêmement exigeant en puissance de calcul. Comme on le voit, l’activité s’arrête dès que vous vous connectez à une session.
Perfctl peut également effectuer du proxy-jacking. Il réutilise ainsi la bande passante inutilisée pour d’autres usages. Dans les deux cas, la motivation est clairement financière.
Malgré ces deux activités, Perfctl est décrit par les chercheurs comme étant très polyvalent. En fonction de la charge utile envoyée par le serveur de commande et de contrôle (C2C), celui-ci peut se livrer à d’autres actions malveillantes, telles que l’exfiltration de données.
S’en débarrasser n’est pas facile
On ne sait pas si les antivirus sont actuellement capables de détecter et de supprimer Perfctl. Les chercheurs d’Aqua Security prodiguent encore une série de conseils, notamment sur la façon de reconnaître la présence de malwares.
Il existe deux critères principaux pour établir la présence d’un malware. Premièrement, des pics d’activité du processeur (ou des ralentissements apparemment inexpliqués), notamment sur les processus nommés httpd et sh. Ensuite, la présence de binaires suspects dans les dossiers /tmp, /usr et /root. Des noms comme perfctl, sh, libpprocps.so, perfcc et libfsnkdev.so sont donnés à titre d’exemple.
Aqua recommande en outre de vérifier les journaux système pour les modifications apportées aux fichiers ~/.profile et /etc/ld.so.preload, ainsi que de surveiller les modifications apportées à certains utilisateurs du système (comme ldd, top, lsof et crontab).
Les chercheurs recommandent également plusieurs mesures d’atténuation, dont la plus importante consiste à mettre à jour les composants du serveur, notamment ceux affectés par les vulnérabilités exploitées. Aqua suggère également de restreindre l’exécution des fichiers dans des répertoires inscriptibles, de désactiver les services inutilisés, d’appliquer une gestion stricte des privilèges et, bien sûr, de déployer des outils de sécurité capables de détecter les rootkits et les malwares sans avertissement. déposer.
Aqua estime que compte tenu de la prévalence de vulnérabilités ciblées et non corrigées, des millions de machines sont actuellement vulnérables à ce malware.
