Eine kürzlich entdeckte Malware namens „Perfctl“ befällt seit 2021 massenhaft Linux-Server und bleibt dabei oft über Jahre unbemerkt. Wie die IT-Sicherheitsexperten von Aqua Security berichten, nutzt die Schadsoftware Schwachstellen in falsch konfigurierten Linux-Systemen aus und setzt diese heimlich für Kryptomining sowie als Proxy-Server ein. Die raffinierte Tarnung und die geschickte Nutzung von Sicherheitslücken haben dazu geführt, dass Malware erst jetzt in großem Umfang entdeckt wurde.
Gezielte Angriffe auf schlecht konfigurierte Server
Laut einem Bericht von Aqua Security haben die Forscher Assaf Morag und Idan Revivo analysiert, dass „Perfctl“ auf Linux-Server mit bis zu 20.000 verschiedenen Fehlkonfigurationen abzielt. Sobald ein Server mit dem Internet verbunden ist, besteht demnach eine erhebliche Wahrscheinlichkeit, dass er von der Malware infiziert wird. Obwohl die genaue Zahl der betroffenen Geräte schwer zu ermitteln ist, schätzen die Forscher, dass bereits Millionen von Servern angegriffen wurden. Die Experten gehen zudem von tausenden erfolgreichen O erfolgreich infiziert wurden.
Kryptomining und Proxy-Jacking als Hauptziele
In den meisten bekannten Fällen nutzte die Malware die infizierten Systeme zum Ausführen von Kryptominern, die die Rechenleistung der Server missbrauchen, um Kryptowährungen wie Bitcoin zu schürfen. In einigen Fällen wurde zusätzlich Proxy-Jacking-Software installiert, die die infizierten Systeme als unauffällige Weiterleitungsdienste für Cyberkriminelle verwendet. So können Kriminelle ihren Internetverkehr über die betroffenen Server leiten und die Aufdeckung ihre eigenen Identität erschweren.
Perfekte Tarnung dank Rootkits
Eine der größten Herausforderungen bei der Entdeckung von „Perfctl“ ist die geschickte Tarnung der Malware. Die Schadsoftware nutzt Rootkits, um ihre Präsenz auf den infizierten Servern zu verstecken. Sobald sich ein Nutzer auf dem Server anmeldet, stoppt „Perfctl“ alle auffälligen Aktivitäten, um einer Entdeckung zu entgehen. Nach der Abmeldung des Nutzers nimmt das Schadprogramm seine illegalen Aktivitäten nahtlos wieder auf. Diese dynamische Tarnung machte es besonders schwierig, die Malware frühzeitig zu entdecken.
Die Malware nutzt bekannte Schwachstellen wie die Polkit-Sicherheitslücke (CVE-2021-4043) aus, um ihre Rechte auf dem infizierten System zu erweitern. Diese Schwachstelle, die in veralteten Versionen von Apache RocketMQ gefunden wurde, zeigt beispielhaft, wie „Perfctl“ ungesicherte oder schlecht konfigurierte Systeme angreift. Trotz des 2022 veröffentlichten Patches bleiben viele Server weiterhin anfällig.
TOR-Netzwerk dient der Erschwerung der Nachverfolgung
Um seine Kommunikation zu verschleiern, leitet „Perfctl“ die externen Verbindungen über das TOR-Netzwerk. Innerhalb des Servers läuft die Kommunikation über Unix-Sockets, was es nahezu unmöglich macht, die Vorgänge nachzuverfolgen. Zudem löscht die Malware nach der Installation ihre eigenen Binary-Dateien und läuft fortan als unsichtbares Hintergrundprogramm weiter. Um eine vollständige Entfernung zu verhindern, kopiert sich Schadsoftware unter irreführenden Dateinamen an verschiedene Stellen auf der Festplatte.
Erste Anzeichen: Hohe CPU-Auslastung
Eines ersten Symptome, das Administratoren auf einen Befall hinweisen kann, ist eine ungewöhnlich hohe CPU-Auslastung von nahezu 100 Prozent. Diese Belastung entsteht durch die intensive Nutzung der Rechenleistung für das Kryptomining. In Foren wie Reddit und Stack Overflow berichteten Administratoren bereits von ihrer erfolglosen Mühe, ein mysteriöses Programm zu entfernen, das trotz aller Maßnahmen immer wieder auftauchte.
Bereits vor der Veröffentlichung des Berichts von Aqua Security diskutierte die Linux-Community über die verdächtigen Aktivitäten. In zahlreichen Threads auf den Plattformen Reddit und Stack Overflow tauchte der Name „Perfctl“ bereits auf, nachdem Nutzer immer wieder über Probleme berichteten, die sich nicht dauerhaft lösen ließen. Viele Administratoren hatten vergeblich versucht, die Malware von ihren Servern zu entfernen, nur um festzustellen, dass sie immer wieder auftauchte.
Also ich muss eine bereits seit Jahren veraltete Version von Debian Bullseye nutzen, weil in späteren Versionen von Bullseye ist es gefixt. Noch dazu ist seit über 1 Jahr Bookworm draußen. Dann muss ich noch Sachen absichtlich falsch konfigurieren.
Klingt als wären alle Opfer in der Cloud auf billigen VPS. Was die aggressiven Angriffe in letzter Zeit auf meinen hoch gesicherten Server erklärt. Ist im Moment eh gerade wilder als sonst im Netz:
[https://www.schneier.com/blog/archives/2024/10/largest-recorded-ddos-attack-is-3-8-tbps.html]
Das übliche also: „Wenn dies und dies und jenes der Fall ist, und ich dies und dies und jenes tue, dann besteht die theoretische Möglichkeit, dass…“
Viele glauben ja immer noch an den Weihnachtsmann, und, dass man jederzeit überall befallen werden könnte. Naja, die „Fach“presse a la Heise.de tut ja auch alles dafür, dass das weiter so bleibt. 🙄
Ja hast recht und es ist schade um die Hannoveraner, wie die so schnell abgebaut haben. Früher hat der Chef immer für uns die iX in der Abteilung ausgelegt, aber ist alles nicht mehr was es früher war.
auch wenn es natürlich nicht korrekt ist, was das Tool macht:
Hut ab vor den Programmierern. Das TOR Netzwerk zur Verschleierung zu nutzen und so; respekt.
Wäre ich ein Staat oder ein größeres Unternehmen und könnte es mir leisten, würde ich die einstellen.
Besser ich habe die auf meiner Payroll und sie arbeiten für mich, als wenn sie gegen mich arbeiten.
Selbst wenn solche Leute FÜR dich arbeiten, heißt es ja nicht, das sie nicht gleichzeitig auch GEGEN dich arbeiten können, z.B. in deiner Infrastruktur Backdoors und/oder fehlerhafte Firmware-Versionen zu installieren …
Solchen Leuten kann man m.E. NIEMALS trauen!
Die rammen dir auch, in „guter alter Ami-Manier“, mit einem Lächeln im Gesicht ein Messer in den Rücken.
Stichwort Doppelzüngigkeit und „Wie komme ich am einfachsten und schnellsten an MEIN GELD, was in DEINER Geldbörse steckt“.
… soviel zum Thema „Linux ist sicherer als Windows …“
Ich hatte irgendwann in den 2005 bis 2010er Jahren dienstlich auch mal einen Kollegen, der dieser Meinung war.
Dummerweise, wurde „seine Linuxbüchse“ (wie er sie selbst „liebevoll“ nannte) als Internetgateway hinter einer Fritz!Box (ohne Portforwarding oder sonstige offene Ports in der Fritz!Box!) von außen nach nur wenigen Monaten gehacked und missbraucht.
Mein Kollege war bemüht, das „Ding“ in den Griff zu bekommen … naja … Schwamm drüber.
Irgendwann habe dann mal einen Windows-Rechner als Gateway benutzt, der wurde nie gehackt.
Grundsätzlich bleibt ja anzumerken, dass es sich um teils massive Fehlkonfigurationen der betroffenen Systeme handelt. Da ist es zum Schluss dann egal, ob man Windows oder Linux nutzt – denn Layer8 bleibt Layer8.
Nicht nur das.
Sehr sehr viele Systeme sind auf einem uralten Patchstand.
Und zu den Fehlkonfigurationen gehört auch, das auf sehr vielen Systemen Dienste laufen, die das System gar nicht benötigt. Z.B. Audio- und Videodienste, Druckdienste etc. werden auf Servern so gut wie nie benötigt, sind aber oftmals per Default installiert und meist auch aktiviert.
Auf sehr vielen Systemen sind auch Ports offen, die für das System nicht nötig sind und Sicherheitseintellungen entsprechen nicht den aktuellen Anforderungen (z.B. ist oft noch SMBv1, TLS 1.0/1.1, unsichere Cipher, und Verschlüsselungsalgorithmen (z.B. DES, MD5) etc. aktiv).
Da muß man sich nicht über die vielen Sicherheitsvorfälle wundern.
Alle schimpfen über unausgegorene Updates von Microsoft, aber auch bei Linux wird „alle Furz lang“ gepatched … oder auch nicht …Auch wieder Distri-abhängig …
Ich bin so froh, das ich dafür KEINEN HUT mehr in einer Organisationen aufhaben muss. 13 Jahre Ärger und Undank reichen mir, echt.
Die paar Windows- & Android-Privatgeräte in meinem Haushalt habe ich im Griff. Und die anderen Bekannten, die ich supporte … alle 3 bis 6 Monate mal drüberschauen reicht in der Regel.
Grundsätzlich liegt die Verantwortung beim jeweiligen Nutzer, nicht (mehr) bei mir.
Die Polkit Privilege Escalation ist CVE-2021-4034 (https://nvd.nist.gov/vuln/detail/CVE-2021-4034) und nicht 2021-4043. Ihr habt die Typo von aquasec 1:1 übernommen und nicht mal gelesen, welchen Link ihr im Artikel drin habt.