Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht

59df19ad a437 49b3 94fd 2e88867d2eb0

In den letzten Jahren haben Forscher eine raffinierte Malware namens “Perfctl” entdeckt, die sich weltweit auf Millionen von Linux-Servern ausbreitet. Diese Malware nutzt bekannte Schwachstellen und fehlerhafte Konfigurationen aus, um ihre Angriffe zu starten und hat sich als besonders schwer zu erkennen und zu entfernen herausgestellt. Im Folgenden kurz zur Funktionsweise der Malware, wie sie sich ins System einschleicht und welche Maßnahmen zur Erkennung und Entfernung laut einem Bericht ergriffen werden können.

Wie funktioniert die Perfctl-Malware?

Perfctl ist speziell darauf ausgelegt, sich auf Linux-Servern festzusetzen und unentdeckt zu bleiben. Ihre Angriffe folgen einem ausgeklügelten Schema, das mehrere Stufen umfasst:

  1. Initiale Infektion: Die Malware nutzt eine Vielzahl von Schwachstellen aus, darunter die bekannte Polkit-Sicherheitslücke (CVE-2021-4034) sowie fehlerhafte Konfigurationen in Linux-Servern, um sich Zugang zu verschaffen.
  2. Payload-Installation: Nach dem ersten Eindringen lädt Perfctl die Hauptkomponente von einem vom Angreifer kontrollierten Server herunter. Diese Komponente wird dann unter einem unauffälligen Namen (z. B. httpd oder sh) im /tmp-Verzeichnis gespeichert und ausgeführt.
  3. Tarnung und Persistenz: Um ihre Spuren zu verwischen, löscht die Malware die Originaldatei und kopiert sich unter verschiedenen Namen an mehrere Orte auf dem System, wie zum Beispiel /usr/bin/perfcc oder /root/.config/cron/perfcc. Diese Technik, bekannt als “Process Masquerading”, hilft der Malware, sich als legitimer Prozess auszugeben.
  4. Einsatz eines Rootkits: Ein weiterer wichtiger Bestandteil der Malware ist ein Rootkit, das verschiedene Bibliotheken und Funktionen manipuliert. Beispielsweise verändert es die PAM-Authentifizierungsfunktionen, um Zugriffe zu tarnen, oder es hakt in die Netzwerküberwachung ein, um verdächtigen Datenverkehr zu verbergen.
Haftung der Geschäftsführung für IT-Sicherheitslücken

Wie versteckt sich Perfctl?

Perfctl verwendet eine Vielzahl an Techniken, um Erkennungssysteme zu umgehen:

  • Verwendung von Rootkits: Die Malware modifiziert kritische Systembibliotheken (z. B. libgcwrap.so), die sich vor anderen Bibliotheken laden, um Datenströme zu manipulieren und ihre Aktivitäten zu verschleiern.
  • Anpassung von Systemdiensten: Die Malware legt Trojanisierte Versionen von Tools wie top, ldd und crontab ab. Diese manipulierten Versionen zeigen die Aktivitäten der Malware nicht an, sodass ein Systemadministrator die wahre Auslastung des Systems nicht sehen kann.
  • Externe Kommunikation: Um nicht aufzufallen, nutzt die Malware das TOR-Netzwerk für verschlüsselte Kommunikation mit den Steuerungsservern. Dies erschwert die Nachverfolgung der Quelle des Angriffs erheblich.

Indikatoren einer Infektion

Es gibt wohl verschiedene Anzeichen, die auf eine Infektion mit Perfctl hindeuten:

  1. Hohe CPU-Auslastung: Die Malware nutzt häufig Cryptomining-Software (wie XMRIG), was zu einer ungewöhnlich hohen CPU-Auslastung führt. Besonders in Zeiten, in denen der Server eigentlich inaktiv ist, kann dies ein klares Indiz für eine Kompromittierung sein.
  2. Verdächtige Dateien und Prozesse: Administrierende sollten das /tmp-Verzeichnis sowie /usr und /root auf ungewöhnliche Dateien oder Prozesse durchsuchen. Dateien, die wie legitime Systemprozesse aussehen (z. B. sh oder httpd), aber aus unerwarteten Verzeichnissen ausgeführt werden, sind verdächtig.
  3. Netzwerkaktivitäten: Die Überwachung des Netzwerkverkehrs kann verdächtige TOR-Kommunikation oder Zugriffe auf bekannte Mining-Pools und Proxy-Jacking-Dienste aufzeigen.

Maßnahmen zur Erkennung und Entfernung

Die Entfernung der Perfctl-Malware erfordert laut zitierter Analyse einen systematischen Ansatz:

  • Erkennung durch System- und Netzwerküberwachung: Überwachungstools sollten so konfiguriert sein, dass sie ungewöhnliche Aktivitäten und Änderungen an wichtigen Systemdateien erfassen. Auch Logs sollten auf unautorisierte Zugriffe oder Modifikationen geprüft werden.
  • Datei- und Prozessintegrität überwachen: Ein regelmäßiges Scannen der Systemintegrität, insbesondere in kritischen Verzeichnissen, kann helfen, Abweichungen frühzeitig zu erkennen.
  • Patch-Management: Um initiale Infektionen zu verhindern, sollten alle Schwachstellen (insbesondere CVE-2021-4034) durch Sicherheitsupdates geschlossen werden.
  • Einschränkung von Dateiberechtigungen: Es sollte sichergestellt werden, dass Verzeichnisse wie /tmp und /dev/shm nicht als ausführbare Verzeichnisse konfiguriert sind.
  • Netzwerksegmentierung und Firewall-Regeln: Server sollten in isolierten Netzwerken betrieben werden, und Firewalls sollten TOR-Traffic und den Zugang zu Mining-Pools blockieren.

Serveradmins und Unternehmen müssen reagieren und sofort Analyen der Systeme laufen lassen. Auch wenn auf den ersten Blick nur Cryptomining im Raum steht, ist unklar, ob man so angegriffene Server auch anders nutzen kann, etwa als Teil eines Botnetzwerks – und was mit Daten ist, die hier gespeichert werden. Da Sie als Geschäftsleitung ihres Unternehmens haften, kümmern Sie sich jetzt darum!

Fazit

Perfctl zeigt, wie raffiniert moderne Malware-Angriffe auf Linux-Server sein können. Ein proaktiver Sicherheitsansatz, der regelmäßige Updates, Netzwerküberwachung und strikte Berechtigungsrichtlinien umfasst, ist unerlässlich, um derartige Bedrohungen abzuwehren. IT-Administrierende sollten wachsam bleiben und verdächtige Aktivitäten umgehend analysieren, um Schäden zu minimieren und eine vollständige Wiederherstellung sicherzustellen.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.