Perfctl Malware targets Linux servers in cryptomining campaign
- 개요
- Perfctl 악성코드는 잘못 설정된 Linux 서버를 대상으로 암호화폐 채굴 및 프록시잭킹(proxyjacking) 소프트웨어를 배포하는 지속적이고 은밀한 공격을 수행
- 이 악성코드는 3~4년 동안 루트킷(rootkit)을 사용하여 감염을 은폐하며, 서버가 유휴 상태일 때만 활동
- 악성코드 작동 방식
- 공격자는 서버의 취약점 또는 잘못된 설정을 이용하여 악성 페이로드를 다운로드
- /tmp 디렉터리에 스스로를 복사하고, 원본 바이너리를 삭제해 흔적을 제거
- Polkit 취약점(CVE-2021-4043, PwnKit)을 악용해 루트 권한을 획득 시도
- 루트킷과 변경된 Linux 유틸리티(예: ldd, lsof)를 사용하여 사용자 영역에서 악성 활동을 숨김
- 지속성 및 회피 기법
- 루트킷을 통해 지속성을 유지하며, /usr/bin에 작은 바이너리(wizlmsh)를 드롭하여 백그라운드에서 실행
- 새로운 사용자가 로그인하면 활동을 중지하고, 서버가 유휴 상태일 때 다시 활동
- .bashrc 및 .profile 파일을 수정하여 사용자 로그인 시 악성코드가 자동으로 실행되도록 설정
- 악성코드의 주요 목표
- 주된 목표는 암호화폐(모네로, XMRIG) 채굴
- 서버의 CPU 자원을 소모하며, 암호화폐 채굴 풀과 통신
- 시스템 리소스 탈취로 인해 서버 성능 저하 및 비정상적인 CPU 사용량 증가를 유발
- C2 및 백도어 기능
- Unix 소켓을 통해 내부 통신, TOR를 통해 외부 통신을 수행
- 백도어를 설치하여 지속적으로 제어 가능
- 경쟁 악성코드를 제거해 독점적 제어를 유지
- 탐지 및 대응 방안
- 비정상적인 CPU 사용량 급증이나 서버 속도 저하를 통해 암호화폐 채굴 활동을 감지
- 유휴 상태에서 CPU 사용량이 갑작스럽게 증가하는 경우 Perfctl 악성코드 감염 가능성 의심
- 보안 패치 및 서버 설정 강화로 취약점 방어
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
아이폰 통화녹음 고지, 한국에서도 유지될 듯 (4) | 2024.10.12 |
---|---|
웹 보안에서 인증과 권한 부여의 이해 (0) | 2024.10.12 |
Cloudflare의 3.8 Tbps DDoS 공격 방어 (2) | 2024.10.12 |
KAIST 사이버보안연구센터, 'Gamble Tracker' 고도화 및 서비스 오픈 (2) | 2024.10.12 |
2024 국정감사: ICT·인공지능 분야의 정보보호 이슈 (1) | 2024.10.12 |