近期，Aqua Security 的研究人员发出警报，一种新发现的针对系统的恶意软件家族正在肆虐，其目的是建立持久访问权限并劫持资源用于加密货币挖掘。

名为 “perfctl” 的恶意软件似乎利用了超过 20,000 种的错误配置和已知漏洞，并且已经活跃了三年多。

该恶意软件专注于逃避和持久化。Aqua Security 发现，perfctl 使用 rootkit 在被入侵的系统上隐藏自己，作为服务在后台运行，仅在机器空闲时处于活动状态，依靠 Unix 套接字和 Tor 进行通信，在受感染的服务器上创建后门，并试图提升权限。

恶意软件的操作者被观察到部署了额外的工具进行侦察，部署代理劫持软件，并投放加密货币挖掘程序。

攻击链始于利用漏洞或错误配置，之后从远程 HTTP 服务器部署有效载荷并执行。接着，它将自己复制到临时目录，杀死原始进程并删除初始二进制文件，然后从新位置执行。

有效载荷包含对 CVE-2021-4043 的利用，这是开源多媒体框架 Gpac 中的一个中等严重程度的空指针解引用漏洞，恶意软件试图通过执行该漏洞来获取 root 权限。该漏洞最近被添加到美国网络安全和基础设施安全局（CISA）的已知被利用漏洞目录中。

还观察到该恶意软件将自己复制到系统的多个其他位置，投放 rootkit 以及修改为用作用户态 rootkit 的流行 Linux 实用程序，同时还有加密货币挖掘程序。

它打开一个 Unix 套接字来处理本地通信，并利用 Tor 匿名网络进行外部命令与控制（C&C）通信。

Aqua Security 补充说：“所有二进制文件都经过打包、剥离和加密，这表明恶意软件在努力绕过防御机制并阻碍逆向工程尝试。”

此外，恶意软件会监控特定文件，如果检测到用户已登录，它会暂停其活动以隐藏其存在。它还确保在 Bash 环境中执行特定于用户的配置，以便在运行时维持服务器的正常操作。

为了实现持久化，perfctl 修改一个脚本以确保它在服务器上应运行的合法工作负载之前执行。它还试图终止受感染机器上可能识别出的其他恶意软件的进程。

部署的 rootkit 挂钩各种函数并修改其功能，包括进行更改以实现在身份验证过程中的 “未经授权的操作，例如绕过密码检查、记录凭证或修改身份验证机制的行为”，Aqua Security 表示。

这家网络安全公司已经确定了与攻击相关的三个下载服务器，以及几个可能被威胁行为者入侵的网站，这导致发现了用于利用易受攻击或配置错误的 Linux 服务器的工件。

该公司表示：“我们确定了一个非常长的列表，其中包含近 20,000 个目录遍历模糊测试列表，寻找错误暴露的配置文件和秘密。还有几个后续文件（例如 XML），攻击者可以运行这些文件来利用错误配置。”