Alarm: Linux-Server seit Jahren unbemerkt von Malware befallen
Eine Welle raffinierter Malware-Angriffe hat unzählige Linux-Server weltweit infiltriert – und das, ohne dass es zunächst bemerkt wurde. Die Angreifer nutzen Sicherheitslücken und fehlerhafte Konfigurationen, um sich unbemerkt Zugang zu verschaffen. Dank ausgeklügelter Tarnmechanismen blieb die Infektion lange unter dem Radar, was es den Cyberkriminellen ermöglichte, über einen längeren Zeitraum kritische Daten abzugreifen und die Kontrolle über die betroffenen Server zu erlangen.
Die Entdeckung der „Perfctl“-Malware durch Aqua Securitys Team Nautilus wirft ein alarmierendes Licht auf die unterschwelligen Gefahren, die bereits seit Jahren unbemerkt auf Linux-Servern lauern. Seit 2021 ist diese ausgeklügelte Schadsoftware aktiv, infiltriert Server weltweit und nutzt sie heimlich als Proxy-Server für Kryptomining. Ihre Tarnung ist laut Team Nautilus so effektiv, dass sie Millionen von Angriffen durchgeführt hat, ohne sofort erkannt zu werden – Tausende Systeme sind bereits betroffen.
Gezielte Suche nach Fehlkonfigurationen: Die Methoden von Perfctl
Perfctl sucht gezielt nach verschiedenen Arten von Fehlkonfigurationen in Linux-Systemen – mehr als 20.000 davon hat die Malware über die Jahre bereits gefunden. Sobald ein Server mit dem Internet verbunden ist, besteht die Gefahr, dass er infiziert wird. Besonders beunruhigend ist die Multifunktionalität der Malware: Sie kann nicht nur Kryptominer ausführen, sondern auch als Loader für andere unerwünschte Programme dienen. Während der Analyse in Sandbox-Umgebungen bemerkten Experten, dass die Malware im Hintergrund weitere Schadprogramme installierte, während sie gleichzeitig die Aktivitäten der Benutzer überwachte.
Tarnung und Inaktivität: Die clevere Strategie von Perfctl
Perfctl setzt eine Kombination hochentwickelter Techniken wie Rootkits ein, um sich zu tarnen. Besonders trickreich: Sobald sich ein Benutzer auf dem Server anmeldet, stellt die Malware ihre Aktivitäten ein und verharrt inaktiv, bis der Benutzer den Server verlässt – eine clevere Methode, um unerkannt zu bleiben. Die interne Kommunikation erfolgt über Unix-Sockets, während externe Anfragen über das TOR-Netzwerk laufen, was eine Nachverfolgung praktisch unmöglich macht.
Perfctl löscht Spuren und sichert sich tiefergehenden Zugriff
Sobald Perfctl ausgeführt wird, löscht es seine Spuren, indem es seine Binärdatei entfernt und sich tief in den Systemdiensten einnistet. Zudem kopiert es sich aus dem Speicher an verschiedene Stellen auf der Festplatte und verwendet dabei irreführende Namen. Außerdem überwacht die Malware durch eine Hintertür die TOR-Kommunikation des Servers und versucht, durch die Polkit-Schwachstelle (CVE-2021-4043) erhöhte Rechte zu erlangen, was ihr einen noch tiefergehenden Zugriff ermöglicht.
Eine der gefährlichsten Bedrohungen für Linux-Server
Diese gefährliche Kombination aus Tarnung, Persistenz und der Fähigkeit, weitere Schadprogramme nachzuladen, macht Perfctl zu einer der bedrohlichsten Malware, die Linux-Server in den letzten Jahren getroffen hat.
Weitere Details und Einzelheiten zur „Perfctl“-Malware (in Englisch) gibt es hier.
Der gesamte Angriffsverlauf der Malware „perfctl“
