Fokozódó kiberfenyegetések: Az adminisztrátoroknak egyre nagyobb kihívásokkal kell szembenézniük, amikor a kriptovaluta eltérítőkkel és egyéb kártékony programokkal találkoznak. Egy közelmúltbeli eset a CentOS subreddit-en figyelmet keltett, ahol egy adminisztrátor felfedezte, hogy két szerverét perfcc és perfctl néven ismert kriptovaluta eltérítő fertőzte meg.
Az adminisztrátor egy áprilisi posztjában részletezte a tapasztalatait: „Csak azért tudtam meg a kártékony program létezéséről, mert a figyelmeztető rendszerem jelezte a 100%-os CPU kihasználtságot. Azonban a folyamat azonnal leállt, amint bejelentkeztem SSH-n vagy konzolon. Amint kijelentkeztem, a kártevő néhány másodpercen vagy percen belül újraindult.”
Az adminisztrátor megpróbálta eltávolítani a kártékony programot, követve más fórumokon leírt lépéseket, de sikertelenül. „A kártevő mindig újraindul, amint kijelentkezem” – írta. A rendszerből a „perfcc” karakterláncot keresve találta a következő fájlokat, de azok eltávolítása sem oldotta meg a problémát, mivel a kártevő újraindult a rendszer minden újraindításakor.
Az elérhető információk alapján a kártevő kihasználhat egy sebezhetőséget vagy rossz konfigurációt, amely lehetővé teszi a fő hasznos terhelés letöltését egy támadó által meghekkelt szerverről. Az egyik támadás a kutatók „honeypot”-jára irányult, amely a httpd nevű hasznos terhelést célozta meg. Miután a fájl végrehajtásra került, az a memóriából egy új helyre másolta magát a /temp könyvtárba, futtatta azt, majd leállította az eredeti folyamatot és törölte a letöltött binárist.
Miután a /tmp könyvtárba került, a fájl egy másik néven futott, amely egy ismert Linux folyamat nevét utánozta. A honeypot-on lévő fájl neve sh volt. Ezt követően a fájl létrehozott egy helyi parancs-és-irányítási folyamatot, és megpróbálta megszerezni a root rendszerjogokat a CVE-2021-4043 sebezhetőség kihasználásával, amely egy privilegizációs sebezhetőség volt, és 2021-ben javították a Gpac, egy széles körben használt nyílt forráskódú multimédiás keretrendszerben.
Érdekes tény: Az AI rendszerek képesek észlelni a kártékony programokat és gyanús tevékenységeket, ezzel segítve a biztonsági szakembereket a fenyegetések gyorsabb azonosításában.
Források: Reddit, Stack Overflow, Proxmox, Gpac, CVE-2021-4043 dokumentáció.
