Desde 2021, milhares de sistemas Linux têm sido alvo de uma perigosa variante de malware denominada Perfctl. Este malware se destaca por sua furtividade, capacidade de explorar uma vasta gama de configurações incorretas e a amplitude de atividades maliciosas que é capaz de realizar. Pesquisadores da Aqua Security revelaram recentemente a sofisticação do Perfctl, tornando-o uma ameaça significativa para máquinas conectadas à Internet. Estima-se que milhões de sistemas podem estar vulneráveis, dado o número de configurações incorretas que ele pode explorar.
Como o Perfctl se Propaga e se Instala
O Perfctl explora mais de 20.000 configurações incorretas comuns em servidores Linux, além de tirar proveito da vulnerabilidade CVE-2023-33246, uma falha grave que afeta o Apache RocketMQ, com uma pontuação de 10/10 de gravidade. Essa falha foi corrigida em 2023, mas muitos sistemas ainda podem não estar atualizados, tornando-se alvos fáceis.
A infecção começa quando o malware explora essas brechas, baixando e executando o payload principal, que se camufla ao adotar nomes comuns de processos e arquivos, confundindo os administradores que monitoram o sistema. Um dos nomes mais comuns é o “perfctl”, que combina perf (uma ferramenta de monitoramento Linux) com ctl, frequentemente usado em utilitários de linha de comando.
Técnicas de Furtividade e Persistência
Para evitar ser detectado, o Perfctl usa várias táticas. Entre os métodos mais avançados estão:
- Rootkit: A maioria dos componentes do malware são instalados como rootkits, que escondem suas atividades do sistema operacional e ferramentas de administração.
- Interrupção de Atividades ao Logar: O malware suspende sua atividade visível sempre que um novo usuário faz login, dificultando a detecção por administradores.
- Comunicação Segura: O malware utiliza um socket Unix para comunicação com servidores remotos via TOR, garantindo anonimato nas suas operações.
- Execução como Serviço em Segundo Plano: Após ser instalado, o binário do malware é apagado, dificultando rastreamento, e ele passa a ser executado como um serviço em segundo plano.
- Hooking em Processos: O Perfctl manipula processos críticos como o
pcap_loop
para esconder seu tráfego malicioso de ferramentas de administração.
A persistência é um aspecto crucial do Perfctl, garantindo que ele permaneça no sistema mesmo após reinicializações ou tentativas de remoção. Ele altera o script ~/.profile
, que é executado durante o login do usuário, garantindo que o malware seja carregado antes das operações normais. Além disso, ele se copia para múltiplos locais no disco para garantir sua sobrevivência em tentativas de remoção.
Atividades Maliciosas e Impactos
Uma vez instalado, o Perfctl é capaz de realizar uma série de atividades maliciosas, como:
- Mineração de Criptomoedas: Usando recursos do sistema infectado para minerar criptomoedas, o malware gera lucro para seus operadores.
- Proxy-Jacking: Transforma a máquina em um proxy, permitindo que terceiros pagantes redirecionem seu tráfego através do sistema comprometido, mascarando a origem dos dados.
- Porta Traseira para Outros Malwares: O Perfctl também pode funcionar como uma backdoor, permitindo a instalação de outras famílias de malwares no sistema comprometido.
Difícil de Remover
Administradores de sistemas relataram dificuldades em remover o Perfctl. Um exemplo típico é o de um administrador no Reddit que notou a infecção após um alerta de 100% de uso de CPU em dois servidores. O processo malicioso parava temporariamente quando o administrador logava no sistema via SSH, mas reiniciava minutos depois que ele saía. Mesmo após tentativas de remoção dos arquivos associados, o malware continuava a se regenerar após cada reinicialização.
Ameaça em Crescimento
Pesquisadores da Aqua Security identificaram que, apesar de algumas ferramentas antivírus conseguirem detectar partes do malware, não há muitos relatórios de pesquisa detalhados sobre ele. No entanto, há uma crescente preocupação entre administradores de sistemas em fóruns de desenvolvedores e administradores de servidores, que relataram infecções consistentes com o comportamento do Perfctl.
Prevenção e Detecção
Detectar o Perfctl pode ser um desafio, mas há alguns sinais importantes que os administradores podem monitorar, como:
- Picos incomuns de uso de CPU ou lentidão inesperada do sistema, especialmente em momentos ociosos.
- Analisar processos com nomes suspeitos ou que imitam utilitários de sistema comuns.
- Procurar por modificações no script
~/.profile
e por diretórios e arquivos incomuns no diretório/tmp
.
A principal recomendação dos pesquisadores é garantir que a vulnerabilidade CVE-2023-33246 esteja corrigida e que as configurações incorretas em servidores Linux sejam revisadas e corrigidas. Adicionalmente, a implementação de práticas de segurança robustas, como o monitoramento contínuo de atividades do sistema e a aplicação de patches de segurança, é crucial para mitigar o risco de infecção.
O Perfctl é um exemplo claro de como ataques contra sistemas Linux podem ser sofisticados e persistentes. Seu design engenhoso, que combina furtividade, persistência e a capacidade de explorar vulnerabilidades críticas, faz dele uma ameaça perigosa para organizações e indivíduos que dependem de servidores Linux. A detecção e a prevenção dependem de uma postura proativa de segurança, com monitoramento constante e aplicação rápida de correções de segurança.
Aos administradores de sistemas Linux, é essencial estar atentos a indicadores de comprometimento e agir rapidamente para mitigar os riscos antes que os danos sejam irreparáveis.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.