New Linux Malware 'Perfctl' Targets Millions by Mimicking System Files
New Linux Malware 'Perfctl' Targets Millions by Mimicking System Files
Follow us on Twitter (X) @Hackread - Facebook @ /Hackread
hackread.com
New Perfctl Malware Targets Linux Servers for Cryptocurrency Mining and Proxyjacking
New Perfctl Malware Targets Linux Servers for Cryptocurrency Mining and Proxyjacking
Perfctl malware exploits Linux vulnerabilities to silently mine cryptocurrency and run proxyjacking software
thehackernews.com
- 개요
- Perfctl는 Linux 서버를 타겟으로 한 악성코드로, 암호화폐 채굴 및 Proxyjacking을 목적으로 설계됨
- Aqua Security 연구원에 따르면, Perfctl는 파일리스(fileless) 멀웨어로 동작하며 Polkit(CVE-2021-4043, PwnKit) 취약점을 악용해 루트 권한을 획득함
- Apache RocketMQ와 같은 취약한 시스템을 통해 침투하여 암호화폐 채굴기 및 Proxyjacking 소프트웨어를 설치
- 공격 방식
- Perfctl는 시스템에 침투 후, /tmp 디렉토리에 파일을 복사하고, 자신의 흔적을 지우며 배경에서 조용히 실행
- 새로운 사용자가 서버에 로그인할 때 모든 활동을 중단하고 서버가 유휴 상태일 때 다시 동작하여 탐지 회피
- 루트킷을 통해 방어 회피 및 암호화폐 채굴기와 Proxyjacking 소프트웨어를 설치
- Polkit 취약점(CVE-2021-4043)을 이용해 루트 권한을 얻고 Perfcc라는 채굴기를 설치
- 탐지 및 방지
- CPU 사용량 급증이나 시스템 성능 저하가 암호화폐 채굴 활동의 신호일 수 있음
- Unix 소켓을 통해 내부 통신을 하고, Tor 네트워크를 통해 외부와 연결하여 탐지가 어려움
- 정기적인 보안 패치 적용, 파일 실행 제한, 네트워크 세분화 및 역할 기반 접근 제어(RBAC) 사용 권장
- 비정상적인 시스템 활동을 모니터링하고 엔드포인트 보호 도구를 사용하여 방어
- 취약점 및 공격 경로
- CVE-2021-4043: Polkit 취약점을 통해 루트 권한을 얻어 원격 코드 실행 가능
- 공격자는 httpd라는 무해한 이름을 사용해 파일을 숨기고, 실행 후 흔적을 지움
- 대응 방안
- 시스템 및 소프트웨어를 최신 상태로 유지하여 취약점 악용 방지
- 취약성 평가를 통해 시스템 내 잘못된 설정이나 노출된 취약점을 지속적으로 점검
- 방화벽 및 침입 탐지 시스템(IDS)을 활용한 네트워크 보안 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 북한 해커, 새로운 VeilShell 백도어로 은밀한 사이버 공격 수행 (1) | 2024.10.10 |
|---|---|
| Google Pixel의 새로운 보안 기능: 2G 취약점 및 Baseband 공격 차단 (1) | 2024.10.10 |
| 전자금융거래법 위반에 대한 양형기준 강화 (2) | 2024.10.10 |
| 상반기 웹 디도스 공격 2.6배 증가 - 라드웨어 보고서 (1) | 2024.10.10 |
| 북한의 불법 사이버 활동으로 탈취한 자금 및 대응 방안 (3) | 2024.10.10 |