Pesquisadores da Aqua Nautilus, em um relatório publicado em 3 de outubro, revelaram detalhes alarmantes sobre um malware específico que vem afetando servidores Linux, chamado “Perfctl“. A ameaça tem como alvo esses servidores há pelo menos três a quatro anos, utilizando mais de 20.000 configurações incorretas como vetores de ataque para exploração inicial. Após comprometer o sistema, o malware instala um rootkit para ocultar sua presença e utiliza os recursos da CPU para mineração de criptomoedas. O tráfego da mineração, assim como comandos de backdoor e vigilância, são mascarados por meio de criptografia Tor.
O Perfctl representa um perigo significativo e persistente, dada sua longevidade e furtividade. Além de minerar criptomoedas, ele explora vetores para ganhar acesso remoto total ao sistema, o que pode representar um risco ainda mais grave. Detectar esses processos comprometidos é uma tarefa complexa para administradores de servidores, pois o malware é capaz de ocultar completamente suas atividades, alterando os números de utilização da CPU para não indicar irregularidades.
Felizmente, existem estratégias que operadores de servidores podem implementar para mitigar os riscos apresentados pelo Perfctl.
Recomendações de mitigação da Aqua Nautilus para o malware Perfctl:
- Corrigir vulnerabilidades: Manter sistemas e bibliotecas atualizados, com ênfase em servidores RocketMQ e vulnerabilidades do Polkit.
- Restringir execução de arquivos: Definir “noexec” em diretórios como
/tmp
,/dev/svm
e outros que o malware possa utilizar. - Desativar serviços desnecessários: Especialmente aqueles que expõem o sistema, como serviços HTTP.
- Gerenciamento de privilégios: Restringir o acesso root a arquivos críticos e aplicar controle baseado em funções (RBAC) para limitar o acesso de usuários e processos.
- Segmentar a rede: Isolar servidores críticos ou usar firewalls para bloquear comunicações, especialmente tráfego Tor ou conexões com pools de mineração de criptomoedas.
- Proteção em tempo real: Implementar ferramentas avançadas de detecção de comportamento e anti-malware para identificar rootkits e atividades suspeitas.
Com essas precauções, espera-se que operadores de servidores possam evitar ou corrigir a exploração do Perfctl. Para uma análise mais detalhada sobre o funcionamento do ataque, consulte o post completo da Aqua Nautilus, disponível no blog da AquaSec.