Linux-Malware "Perfctl" befällt offenbar schon seit Jahren Linux-Server

Eine ausgeklügelte Malware befällt massenweise Linux-Server mit falschen Konfigurationen. Das blieb lange unentdeckt, auch wegen der guten Tarnung.

In Pocket speichern vorlesen Druckansicht 399 Kommentare lesen
Server stehen in einem Rechenzentrum.

(Bild: Gorodenkoff/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Eine jetzt entdeckte Malware hat es auf Linux-Server abgesehen: Wie die Experten der Cybersecurity-Beratung Aqua Security berichten, ist das Programm namens "Perfctl" vermutlich schon seit 2021 im Umlauf und befällt Linux-Systeme, um diese heimlich als Proxyserver und für Cryptomining zu nutzen. Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme fungieren.

"Perfctl" hat laut dem Analysebericht vermutlich bereits Millionen von Servern attackiert. Die Zahl der Geräte, welche die Malware erfolgreich befallen konnte, geht in die Tausende, schätzen die Verfasser des Berichts, Assaf Morag und Idan Revivo. "Perfctl" sucht demzufolge nach rund 20.000 verschiedenen Arten von Fehlkonfigurationen, welche Linux-Server potenziell aufweisen können – die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist, stellen Morag und Revivo klar.

In allen bekannten Fällen habe die Malware einen Kryptominer ausgeführt. In einigen Fällen sei auch eine Proxy-Jacking-Software zu Einsatz gekommen, heißt es in dem Bericht. Während die beiden Analysten Sandbox-Tests mit der Malware durchführten, machten sie zudem eine Beobachtung: Diese installierte im Hintergrund weitere Programme, um das Geschehen heimlich mitverfolgen zu können.

Das Schadprogramm tarnt sich besonders gut und hält sich hartnäckig auf den Zielgeräten. Aqua Security konnte eine Reihe von Taktiken aufdecken. So nutzt "Perfctl" Rootkits, um seine Präsenz zu verbergen. Loggt sich ein neuer Benutzer ein, beendet die Malware sofort alle Aktivitäten, die auffällig sein könnten. Loggt sich der Nutzer wieder aus, gehen die Aktivitäten wieder weiter.

Die Kommunikation innerhalb des Servers läuft über Unix-Sockets, die externe Kommunikation wird über Tor-Server geleitet, sodass sie sich unmöglich nachverfolgen lässt. Nach der Installation löscht "Perfctl" seine Binary-Dateien und läuft fortan als Hintergrundprogramm weiter. Es kopiert sich aus dem Speicher an verschiedene Stellen auf der Festplatte und verwendet dabei irreführende Namen.

Zudem öffnet "Perfctl" eine Hintertür auf dem Server und "belauscht" die TOR-Kommunikation. Das Programm versucht außerdem, die Polkit-Schwachstelle (CVE-2021-4034) auszunutzen, um seine Rechte zu erweitern. Die Lücke wurde im vorigen Jahr in Apache RocketMQ, einer Messaging- und Streaming-Plattform, die auf vielen Linux-Rechnern zu finden ist, gepatcht. Wohl ein typisches Beispiel für die Strategie der Malware, etliche Varianten falsch konfigurierter oder veralteter Systeme auszunutzen.

Hat Perfctl sich erfolgreich eingenistet, betreibt es in erster Linie Kryptomining – eine weitere Einnahmequelle der Urheber ist offenbar ein Proxy-Dienst für andere Cyberkriminelle. Diese können dann ihren Internetverkehr durch die gehackten Linux-Server leiten, um ihre eigene Identität zu verschleiern. Zudem fungiert die Malware als Loader, und bietet damit immer die Option, weitere Programme auf den betroffenen Servern zu installieren.

Ein typisches erstes Symptom für die Malware ist eine enorm hohe CPU-Auslastung von nahezu 100 Prozent. Weitere Tipps, wie ein möglicher "Perfctl"-Befall erkannt werden kann, geben die Analysten in ihrem Bericht.

Von den Problemen, welche die ausgeklügelte Malware verursacht, hat die Community bereits Notiz genommen. Auf diversen Foren wie Reddit beklagten User zum Beispiel, dass sie ein seltsames Programm mehrfach erfolglos zu entfernen versucht haben – und, dass es immer wieder auftaucht, auch wenn sie betroffene Dateien komplett löschen.

Auch der Name "Perfctl" entstand in zahlreichen Threads in diversen Entwicklerforen wie Reddit oder Stack Overflow zu dem Thema. Morag und Revivo entschieden sich, den Namen dann zu übernehmen. Ihr Bericht dürfte zeitnah viele Linux-Server-Admins beschäftigen.

Update

Der Name der Malware wurde von "Perfectl" zu "Perfctl" korrigiert

(nen)