3 Ekim’de Aqua Nautilus araştırmacıları, saldırı vektörleri olarak “20.000’den fazla yanlış yapılandırma türünü” kullanan, son üç ila dört yıl boyunca Linux sunucularını hedef alan “Perfctl” adlı belirli bir Linux kötü amaçlı yazılımı hakkında bildiklerini açıklayan bir blog yazısı yayınladılar. sömürüye başlamak. Kötü amaçlı yazılım, istismar başladıktan sonra kendisini gizlemek için bir rootkit kullanacak ve kaçınılmaz olarak kripto madenciliği için CPU kaynaklarını çalmaya başlayacaktı. Tor şifreli trafik aracılığıyla madencilik trafiğini ve arka kapı komutları ve gözetim için olası talimatları gizledi.
Bu Perfctl kötü amaçlı yazılımı, doğada ne kadar süre kaldığı dikkate alındığında oldukça ciddi ve kalıcı bir tehdittir. Sinsi bir kripto madencisi yeterince kötü olabilir, ancak Perfctl ayrıca belirli vektörler aracılığıyla tüm sisteme daha fazla arka kapı erişimi sağlayabilir ve bu da daha büyük bir güvenlik sorunu anlamına gelebilir. Etkilenen sunucuları teşhis ederken ele geçirilen işlemleri doğru şekilde tespit etmek de zordur. Faaliyetini göz ardı eden CPU kullanım rakamlarını geri atarak, kripto madenciliği faaliyetini sizden tamamen gizleyebilir.
Neyse ki sunucu operatörlerinin Perfctl’in sunduğu tehdidi hafifletmeye yardımcı olmak için alabilecekleri önlemler var.
Aqua Nautilus’un Tavsiye Ettiği Mükemmel Kötü Amaçlı Yazılım Azaltma Önlemleri
- Başta RocketMQ sunucuları ve Polkit güvenlik açığı gibi uygulamalara yönelik güvenlik açıkları olmak üzere tüm potansiyel güvenlik açıklarının düzeltilmesi. Kütüphanelerin güncel tutulması tavsiye edilir.
- Bu kötü amaçlı yazılımı yürütmek için kullanılan /tmp, /dev/svm ve “diğer yazılabilir dizinler” üzerinde “noexec” ayarını yaparak dosya yürütülmesini kısıtlayın.
- İsteğe bağlı ve kullanılmayan hizmetleri, özellikle de “HTTP hizmetleri gibi sistemi harici saldırganlara maruz bırakabilecek hizmetleri” devre dışı bırakın.
- Kritik dosyalara ve dizinlere kök erişimini kısıtlayarak ve ayrıca kullanıcıların ve süreçlerin erişebileceği veya değiştirebileceği şeyleri sınırlamak için Rol Tabanlı Erişim Denetimi’ni (RBAC) kullanarak katı ayrıcalık yönetimi uygulayın.
- Kritik sunucuları İnternet’ten izole ederek veya “özellikle Tor trafiğini veya kripto madenciliği havuzlarına bağlantıları” olmak üzere giden iletişimleri engellemek için güvenlik duvarları kullanarak ağı bölümlere ayırın.
- Son olarak, “rootkit’leri, kripto madencilerini ve Perfctl gibi dosyasız kötü amaçlı yazılımları tespit edebilen gelişmiş kötü amaçlı yazılımdan koruma ve davranışsal algılama araçlarını” kullanarak çalışma zamanı korumasını dağıtın.
Umarız sunucu operatörleri bu istismardan kaçınabilir veya bu istismar ve hafifletme önlemleri çok iyi belgelendiği için mevcut olduğu yerde düzeltebilir. Saldırıların nasıl işlediği ve Aqua Nautilus’un bunları bal saklama ve korumalı alana alma yoluyla neler öğrendiği hakkında daha ayrıntılı bilgi için, şu adresteki sorunu belgeleyen birkaç sayfalık blog gönderisinin tamamına göz atmayı düşünün: AquaSec.
Aksi takdirde, bir Linux sunucu operatörü değilseniz, bilgilerinizin bu sorun nedeniyle zaten tehlikeye atılmış herhangi bir Linux sunucusunda bulunmadığını umun ve günlük yaşamınızda uygun siber güvenlik uygulamalarını takip ettiğinizden emin olun.