Kant's IT/Issue on IT&Security

새로운 Perfctl 악성코드: Linux 서버를 노리는 암호화폐 채굴 공격

Kant Jo 2024. 10. 12. 14:05

Perfctl Malware targets Linux servers in cryptomining campaign

 

  • 개요
    • Perfctl 악성코드잘못 설정된 Linux 서버를 대상으로 암호화폐 채굴프록시잭킹(proxyjacking) 소프트웨어를 배포하는 지속적이고 은밀한 공격을 수행
    • 이 악성코드는 3~4년 동안 루트킷(rootkit)을 사용하여 감염을 은폐하며, 서버가 유휴 상태일 때만 활동
  • 악성코드 작동 방식
    • 공격자는 서버의 취약점 또는 잘못된 설정을 이용하여 악성 페이로드를 다운로드
    • /tmp 디렉터리에 스스로를 복사하고, 원본 바이너리를 삭제해 흔적을 제거
    • Polkit 취약점(CVE-2021-4043, PwnKit)을 악용해 루트 권한을 획득 시도
    • 루트킷변경된 Linux 유틸리티(예: ldd, lsof)를 사용하여 사용자 영역에서 악성 활동을 숨김
  • 지속성 및 회피 기법
    • 루트킷을 통해 지속성을 유지하며, /usr/bin에 작은 바이너리(wizlmsh)를 드롭하여 백그라운드에서 실행
    • 새로운 사용자가 로그인하면 활동을 중지하고, 서버가 유휴 상태일 때 다시 활동
    • .bashrc.profile 파일을 수정하여 사용자 로그인 시 악성코드가 자동으로 실행되도록 설정
  • 악성코드의 주요 목표
    • 주된 목표는 암호화폐(모네로, XMRIG) 채굴
    • 서버의 CPU 자원을 소모하며, 암호화폐 채굴 풀과 통신
    • 시스템 리소스 탈취로 인해 서버 성능 저하비정상적인 CPU 사용량 증가를 유발
  • C2 및 백도어 기능
    • Unix 소켓을 통해 내부 통신, TOR를 통해 외부 통신을 수행
    • 백도어를 설치하여 지속적으로 제어 가능
    • 경쟁 악성코드를 제거해 독점적 제어를 유지
  • 탐지 및 대응 방안
    • 비정상적인 CPU 사용량 급증이나 서버 속도 저하를 통해 암호화폐 채굴 활동을 감지
    • 유휴 상태에서 CPU 사용량이 갑작스럽게 증가하는 경우 Perfctl 악성코드 감염 가능성 의심
    • 보안 패치서버 설정 강화로 취약점 방어