Linux 系统成为隐秘“Perfctl”加密挖矿恶意软件的目标

news2024/11/24 14:50:31

Aqua Security 的研究人员上周透露,数以千计的 Linux 系统可能感染了极难追踪且持久的“perfctl”(或“ perfcc ”)加密挖掘恶意软件,许多其他系统仍然面临被入侵的风险。

在观察到的所有攻击中,恶意软件都被用来运行加密矿工,在某些情况下,我们还检测到代理劫持软件的执行。

“Perfctl”恶意软件

虽然实际的加密挖掘是由 XMRIG Monero 加密挖掘软件执行的,但该恶意软件的名称 perfctl 源自受影响系统上建立的加密挖掘程序进程的名称。(受影响的用户多年来一直在网上论坛上寻找补救建议,该进程被反复提及。)

“通过将‘perf’(Linux 性能监控工具)与‘ctl’(通常用于表示命令行工具中的控制)结合起来,恶意软件作者精心设计了一个看似合法的名称。

这使得用户或管理员在初步调查期间更容易忽视它,因为它与典型的系统进程融合在一起。

威胁行为者通过利用已知漏洞(例如 RocketMQ)或 20,000 种错误配置(例如 Selenium Grid 的默认配置缺乏身份验证)来安装恶意软件。

最初下载的有效载荷(安装二进制文件实际上是一个多用途恶意软件植入程序)会将自身从内存复制到/tmp目录中的新位置,并从那里运行新的二进制文件。

原始进程和二进制文件被终止/删除,而新的进程和二进制文件则充当植入程序和本地命令与控制 (C2) 进程。

“perfctl”攻击流程

恶意软件:

🔸包含并使用CVE-2021-4034 (又名 PwnKit)漏洞来尝试获取完全 root 权限;

🔸修改现有脚本以确保恶意软件的执行并抑制mesg错误(可能指向恶意执行),并删除用于验证主要有效载荷执行的二进制文件;

🔸将自身从内存复制到其他六个位置(文件名模仿常规系统文件的名称);

🔸放置 rootkit 来隐藏其存在并确保持久性、改变网络流量等;

🔸植入多个木马化的 Linux 实用程序来隐藏特定的攻击元素(例如,攻击期间创建的 cron 作业、加密货币矿工的 CPU 消耗、恶意软件使用的恶意库和依赖项),以防止开发人员或安全工程师指出攻击机器的因素;

🔸使用 TOR 上的 Unix 套接字进行外部通信;

🔸删除并执行 XMRIG 加密矿工,有时还会执行代理劫持软件(将机器接入代理网络)。

这种恶意软件的另一个有趣之处是,它很低调,即当新用户登录服务器时,它会停止所有加密挖掘活动,受影响的用户指出了这一点。

检测、删除和缓解措施

对于加密劫持而言,攻击者隐藏攻击行为的时间越长,他们最终“赚”的钱就越多。

这就是为什么攻击者不遗余力地实现隐秘和持久性的原因。

虽然有些用户可能不会太在意他们的系统在一段时间内被用于加密挖掘或代理,但他们应该重新考虑他们的立场,因为危险可能比他们想象的更大。

研究人员指出:“我们还发现该恶意软件可以充当安装其他恶意软件家族的后门。”

通过检查目录、进程、系统日志和网络流量,可以发现系统中的“perfctl”恶意软件。Aqua为 Linux 系统的用户和管理员分享了入侵指标和风险缓解建议。

https://www.aquasec.com/blog/perfctl-a-stealthy-malware-targeting-millions-of-linux-servers/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2194945.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C语言入门指南:为大一新生准备

C语言入门指南:为大一新生准备 C语言是许多编程语言的基础,许多现代编程语言(如C、Java、Rust等)都从C语言中汲取了灵感。因此,学习C语言不仅能帮助你掌握编程的基本概念,还能为学习其他编程语言打下坚实的…

ThinkBook 16+ 锐龙6800h 安装ubuntu键盘失灵

问题:在ThinkBook 16 锐龙6800h 安装ubuntu18.04 出现笔记本键盘按下延迟非常高,输出卡死的情况,但是外接键盘可以正常使用 解决:更新内核 1、进入 https://kernel.ubuntu.com/~kernel-ppa/mainline/ 下载所需内核版本&#x…

Array类、引用类型

前面我们对数组的增加,删除,查找,更改都需要进行循环遍历,非常的麻烦。C#系统为我们提供了Array类,在这个类中定义了许多对数组进行操作的方法,我们可以直接用,从而提高效率。 索引查找: int[] a = { 1, 2, 3, 4, 3 }; int b=Array.IndexOf(a, 3);//第一个参数为数组…

判断是否为二叉排序树(二叉搜索树,二叉查找树)

1.判断给定的二叉树是否为二叉排序树&#xff0c;如果是返回1&#xff0c;不是返回0。 思想&#xff1a; 二叉树是左子树<根<右子树。中序遍历是递增有序&#xff0c;可以通过比较当前结点与前驱关系来进行判断。 代码&#xff1a; //pre为全局变量&#xff0c;保存当…

xmltodict 处理 XML 数据案例解析

简介&#xff1a;xmltodict 是一个用于将 XML 数据转换为 Python 字典的轻量级模块。它简化了 XML 数据的解析和处理&#xff0c;使得在 Python 中操作 XML 变得更加直观和方便。这个模块适合用于数据交换、配置文件解析等需要 XML 数据处理的场景。 历史攻略&#xff1a; loc…

软件验证与确认实验三-数据驱动测试

目录 1. 实验目的及要求.................................................................................................... 3 2. 实验软硬件环境.................................................................................................... 3 …

ASP.NetCore---I18n(internationalization)多语言版本的应用

文章目录 0.实现的效果如下1.创建新项目I18nBaseDemo2.添加页面中的下拉框3.在HomeController中添加ChangeLanguage方法4.在Progress.cs 文件中添加如下代码&#xff1a;5. 在progress.cs中添加code6.添加Resource资源文件7.在页面中引用i18n的变量8. 重启项目&#xff0c;应该…

【多线程】详解 CAS 机制

&#x1f970;&#x1f970;&#x1f970;来都来了&#xff0c;不妨点个关注叭&#xff01; &#x1f449;博客主页&#xff1a;欢迎各位大佬!&#x1f448; 文章目录 1. CAS 是什么1.1 CAS 具体步骤1.2 CAS 伪代码 2. CAS 的应用2.1 实现原子类2.1.1 AtomInteger 类2.1.2 伪代…

【2024最新】基于springboot+vue的教师人事档案管理系统lw+ppt

作者&#xff1a;计算机搬砖家 开发技术&#xff1a;SpringBoot、php、Python、小程序、SSM、Vue、MySQL、JSP、ElementUI等&#xff0c;“文末源码”。 专栏推荐&#xff1a;SpringBoot项目源码、Vue项目源码、SSM项目源码、微信小程序源码 精品专栏&#xff1a;Java精选实战项…

wxPython中wx.ListCtrl用法(样式和事件)

wx.ListCtrl是一个列表组件&#xff0c;可以以列表视图&#xff08;list view&#xff09;、报表视图&#xff08;report view&#xff09;、图标视图&#xff08;icon view&#xff09;和小图标视图&#xff08;small icon view&#xff09;等多种模式显示列表。 组件样式 wx…

c++grpc详解

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 一.简介支持的语言使用场景特点 二.传输原理protobuf传输HTTP2.0流和帧 三.grpc的四种模式1.一元RPC模式2.服务端流3.客户端流4.双向流 四.基本流程 一.简介 gRPC …

Lesson3 - 操作系统软件视角和系统调用

文章目录 硬件支持系统 系统管理硬件异步行为中断的分类 同步行为虚拟地址空间shell系统调用与软中断区分系统调用trace 命令 硬件支持系统 系统管理硬件 计算机硬件由三样东西组成&#xff1a;CPU、内存、I/O设备。为了更有效地管理这些硬件资源&#xff0c;系统设计者引入了…

ElasticSearch备考 -- Search template

一、题目 ### 基础版 Create a search template for the above query, so that the template (i) is named "with_response_and_tag", (ii) has a parameter "with_min_response" to represent the lower bound of the response field, (iii) has a parame…

分治算法(3)_快速选择_数组中的第K个最大元素

个人主页&#xff1a;C忠实粉丝 欢迎 点赞&#x1f44d; 收藏✨ 留言✉ 加关注&#x1f493;本文由 C忠实粉丝 原创 分治算法(3)_快速排序_数组中的第K个最大元素 收录于专栏【经典算法练习】 本专栏旨在分享学习算法的一点学习笔记&#xff0c;欢迎大家在评论区交流讨论&#…

SSH -L 代理与反向代理转发详解

简介&#xff1a;SSH -L 选项用于设置本地端口转发&#xff0c;而反向代理转发则允许远程主机访问本地服务。本文将介绍如何使用 SSH -L 实现本地端口转发和反向代理转发&#xff0c;并提供示例以帮助您理解和应用这些技术。 历史攻略&#xff1a; Centos&#xff1a;设置代理…

国庆假期结束

&#x1f51a; 推迟几天返校 未提前和老师商量&#xff08;其实放假前我也说过的&#xff0c;但是我导可能忘记了&#xff09; 我的确有错&#xff0c;事情总自己觉得行了就觉得可以了 在老师看起来的确有点“不尊重” 下次一定要要要注意⚠️⚠️⚠️ 上次&#xff0c;国…

【Kubernetes】常见面试题汇总(五十九)

目录 129.问题&#xff1a;pod 使用 PV 后&#xff0c;无法访问其内容&#xff1f; 130.查看节点状态失败&#xff1f; 特别说明&#xff1a; 题目 1-68 属于【Kubernetes】的常规概念题&#xff0c;即 “ 汇总&#xff08;一&#xff09;~&#xff08;二十二&#xf…

大语言模型 LLM 量化技术略解

什么是量化? 随着语言模型规模的不断增大,其训练的难度和成本已成为共识。而随着用户数量的增加,模型推理的成本也在不断攀升,甚至可能成为限制模型部署的首要因素。因此,我们需要对模型进行压缩以加速推理过程,而模型量化是其中一种有效的方法。 大语言模型的参数通常…

Python运行态 - 代码调试:掌握pdb

简介&#xff1a;pdb&#xff08;Python Debugger&#xff09;是 Python 标准库中的调试工具&#xff0c;旨在帮助开发者在代码中设置断点、检查变量值和逐行执行代码。这对于定位和修复程序中的问题至关重要。pdb 是 Python 的内置模块&#xff0c;因此不需要额外安装。 历史…

20款奔驰CLS300升级原厂抬头显示HUD 23P智能辅助驾驶 触摸屏人机交互系统

以下是为您生成的一份关于 18 款奔驰 CLS 老款改新款的改装文案&#xff1a; 18 款奔驰 CLS 老款改新款&#xff1a;科技升级&#xff0c;畅享极致驾驶体验 在汽车改装的世界里&#xff0c;每一次的升级都是对卓越的追求。今天&#xff0c;让我们一同探索 18 款奔驰 CLS 老款改…