Cryptomonnaie : L’impact des logiciels malveillants sur les serveurs Linux
Les serveurs Linux sont la cible d’une campagne en cours qui utilise un logiciel malveillant discret appelé perfctl dans le but principal de faire fonctionner un mineur de cryptomonnaie et un logiciel de proxyjacking.
Le malware perfctl est particulièrement insaisissable et persistant, employant plusieurs techniques sophistiquées, ont déclaré des chercheurs en sécurité Aqua dans un rapport partagé avec The Hacker News.
La raison derrière le nom « perfctl » semble être un effort délibéré pour éviter la détection et se fondre dans les processus système légitimes, car « perf » se réfère à un outil de surveillance des performances Linux et « ctl » signifie contrôle dans divers outils en ligne de commande, tels que systemctl, timedatectl et rabbitmqctl.
Les failles de sécurité exploitées par le malware
Le malware perfctl exploite une vulnérabilité dans Polkit (CVE-2021-4043, alias PwnKit) pour escalader les privilèges vers le root et déposer un mineur appelé perfcc.
La chaîne d’attaque, telle qu’observée par la société de sécurité cloud sur ses serveurs honeypot, consiste à violer les serveurs Linux en exploitant une instance Apache RocketMQ vulnérable pour livrer une charge utile nommée « httpd ».
Les conseils pour se protéger contre le malware perfctl
Pour atténuer les risques posés par perfctl, il est recommandé de maintenir les systèmes et tous les logiciels à jour, de limiter l’exécution des fichiers, de désactiver les services inutilisés, de mettre en place une segmentation réseau et de mettre en œuvre un contrôle d’accès basé sur les rôles (RBAC) pour limiter l’accès aux fichiers critiques.
Pour détecter le malware perfctl, il convient de rechercher des pics inhabituels d’utilisation du processeur ou un ralentissement du système si le rootkit a été déployé sur votre serveur. Ces signaux peuvent indiquer des activités de minage de cryptomonnaie, en particulier pendant les périodes d’inactivité.
Si cet article vous a intéressé, suivez-nous sur Twitter et LinkedIn pour découvrir plus de contenu exclusif que nous publions.
Source : thehackernews.com