Kada je riječ o sigurnosti, Linux slovi za najsigurniji operativni sistem. No, ni on nije imun na zlonamjeran softver, tkzv. malware. Sjajan primjer za to je “perfctl”, koji je aktivan još od 2021. godine. Perfctl je otkriven od strane istraživača iz Aqua Nautilus-a. Ovaj maliciozni softver je u posljednje 3-4 godine aktivno iskorištavao preko 20.000 vrsta pogrešnih konfiguracija na Linux serverima, a njegovo ponašanje bilo je vrlo inteligentno.
Mnogi korisnici na internetskim forumima već nekoliko godina pišu o nepoznatoj prijetnji koja na njihovim računarima pokreće proces rudarenja kriptovalute. Danas znamo mnogo više o njemu.
Naime, Perfctl iskorištava razne sigurnosne propuste i servere koji su pogrešno konfigurirani. Jednom kada se nađe na računalu s određenom distribucijom Linuxa, briše svoju izvornu binarnu datoteku nakon izvršenja kako bi se prikrili tragovi. Nova datoteka se kopira na drugo mjesto, proces se zatvara, a na njenom mjestu se otvara nova s lažnim imenom, koja može nalikovati sistemskom programu.
Perfctl pokušava upotrijebiti CVE-2021-4043 exploit poznat kao PolKit kako bi proširio privilegije. U međuvremenu se kopira na nekoliko različitih lokacija na disku, što mu daje značajnu trajnost, a također uvodi rootkite kako bi sakrio svoju prisutnost od operativnog sistema. Također modificira nekoliko popularnih uslužnih alatki sistema, kao što su ldd ili lsof.
Zatim nastavlja s instaliranjem programa za rudarenje kriptovalute i u nekim slučajevima se koristi za proxy-jacking – dijeljenje neiskorištenog internet prometa radi zarade. Vješt je u skrivanju, jer zaustavlja sve sumnjive aktivnosti čim otkrije da se novi korisnik prijavljuje na server.
Osim toga, maliciozni softver mijenja “profile” datoteku koja se pokreće pri podizanju sistema kako bi nastavila svoju aktivnost i nakon prijave. Također, koristi Unix socket preko TOR protokol za vanjsku komunikaciju.
Aqua Nautilus predlaže nekoliko načina za otkrivanje i zaustavljanje perfctl-a, koji spadaju u četiri glavne kategorije: nadzor sistema, analiza mrežnog prometa, nadzor integriteta datoteka i procesa i proaktivno ublažavanje. Uz to, treba osigurati da su sve softverske zakrpe instalirane.