一種名為 Perfctl 的複雜惡意軟體已經悄無聲息地感染 Linux 系統多年,可能已經危及數千臺機器。來自 Aqua Security 的網路安全研究人員最近發現了這一威脅,該威脅自2021年以來一直活躍。
多方面的威脅
Perfctl 不是普通的惡意軟體。它是網路犯罪分子手中的多功能工具,能夠:
- 挖掘加密貨幣
- 充當其他惡意行為者的代理
- 向被感染的系統載入額外的惡意軟體
Perfctl 特別危險的原因在於它能夠利用 Linux 系統中超過20,000種常見的錯誤配置。這種廣泛的攻擊面使數百萬臺聯網機器面臨風險。
隱蔽性和永續性
該惡意軟體採用了幾種技術來避免被檢測:
- 使用模仿合法 Linux 工具的程序和檔名
- 將元件安裝為 rootkit
- 操縱系統程序以隱藏惡意流量
- 抑制可能警告使用者的錯誤訊息
Perfctl 還具有顯著的永續性。它修改系統指令碼以確保在啟動時執行,並將自身複製到磁碟上的多個位置。即使使用者試圖刪除它,該惡意軟體通常也能重新啟動自己。
 |
|---|
| 系統操作和編碼的表示,展示了惡意軟體如何在 Linux 系統中隱蔽執行 |
利用方法
攻擊者透過兩種主要方式部署 Perfctl:
- 利用數千種可能的錯誤配置
- 利用 CVE-2023-33426,一個 Apache RocketMQ 中的嚴重漏洞
影響和範圍
雖然確切的受感染系統數量未知,但研究人員估計在數千個。然而,潛在的目標池要大得多 - 可能有數百萬臺易受攻擊的 Linux 機器。
保護您的系統
為了防範 Perfctl:
- 保持所有系統和軟體最新,尤其是 Apache RocketMQ
- 定期稽核系統配置以查詢漏洞
- 監控異常的 CPU 使用率或系統減速
- 實施強大的訪問控制和身份驗證措施
隨著 Linux 繼續成為伺服器和雲基礎設施的熱門選擇,系統管理員和安全團隊必須對 Perfctl 等不斷演變的威脅保持警惕。