Malware Perfctl infeksi ribuan server linux
Malware baru bernama Perfctl yang menyerang server Linux tanpa menggunakan file (fileless malware). Malware ini terutama digunakan untuk menambang cryptocurrency dan melakukan proxyjacking. Perfctl mengeksploitasi kerentanan pada server Linux, termasuk kelemahan konfigurasi dan kerentanan keamanan yang sudah dikenal, seperti CVE-2021-4043. Setelah masuk, malware ini menyembunyikan dirinya menggunakan rootkit, menjalankan perintah ketika server sedang idle, dan menghentikan aktivitasnya saat ada pengguna yang aktif. Ia juga menggunakan jaringan Tor untuk komunikasi rahasia dengan penyerang.
Deteksi
Untuk mendeteksi malware ini, disarankan untuk memantau penggunaan CPU yang tidak biasa dan memeriksa direktori seperti /tmp atau /root untuk file yang mencurigakan. Pencegahan yang dianjurkan termasuk memperbarui perangkat lunak secara rutin, membatasi eksekusi file, dan menerapkan kontrol akses berbasis peran (RBAC).
Exploitasi
Perfctl memanfaatkan kelemahan CVE-2021-4043 (juga dikenal sebagai PwnKit), yang merupakan bug Null pointer dereference dalam framework multimedia terbuka GPAC. Kelemahan ini memungkinkan malware untuk meningkatkan hak akses pengguna menjadi root (privilege escalation) pada sistem Linux. Setelah mendapatkan akses root, malware dapat menginstal rootkit, mengeksekusi cryptominer, dan tetap tersembunyi dari sistem keamanan.
Cara Kerja
Cara kerjanya adalah dengan mengeksekusi eksploitasi terhadap Polkit, yang merupakan komponen penting untuk menangani hak akses di Linux, sehingga Perfctl dapat menjalankan kode berbahaya dengan hak akses tertinggi di sistem tersebut.
Antisipasi dan Mitigasi
Untuk memitigasi kelemahan CVE-2021-4043 (PwnKit), langkah-langkah berikut bisa diambil:
1. Perbarui Polkit: Pastikan Polkit sudah diperbarui ke versi terbaru, karena tambalan (patch) untuk kerentanan ini telah dirilis. Selalu lakukan pembaruan sistem secara rutin untuk menutup celah keamanan seperti ini.
2. Batasi Akses Pengguna: Terapkan kontrol akses berbasis peran (RBAC) untuk membatasi akses ke hak istimewa administratif. Hanya pengguna yang benar-benar perlu yang diberi hak akses root.
3. Pengawasan dan Pemantauan Sistem: Pantau proses yang mencurigakan dan penggunaan CPU yang tidak biasa. Pemantauan integritas file dan proses juga dapat membantu mendeteksi aktivitas berbahaya sebelum terlalu jauh.
4. Network Segmentation dan Firewall: Pisahkan server penting dan atur firewall untuk memblokir akses dari sumber yang tidak dikenal atau berbahaya.
5. Disable Polkit Jika Tidak Diperlukan: Jika Polkit tidak diperlukan pada sistem, disarankan untuk menonaktifkannya atau menghapusnya untuk mengurangi risiko eksploitasi.
Pencegahan
Untuk mengecek dan mencegah eksploitasi CVE-2021-4043 dengan Python, kita bisa membuat skrip yang melakukan beberapa pemeriksaan sistematis dan langkah mitigasi. Berikut adalah contoh langkah dasar yang bisa dilakukan:
1. Mengecek Versi Polkit: Skrip ini akan memeriksa apakah Polkit sudah diperbarui atau masih rentan.
2. Memantau Keberadaan File dan Proses Mencurigakan: Kita bisa memeriksa direktori seperti /tmp untuk file mencurigakan yang sering digunakan oleh malware.
3. Mencegah Eksekusi Polkit Jika Tidak Dibutuhkan: Jika Polkit tidak digunakan di sistem, kita bisa menonaktifkannya.
Mengikuti langkah-langkah ini dapat membantu meminimalisir risiko eksploitasi CVE-2021-4043 pada sistem Linux.
Kami siapkan skrip python3 untuk pengecekan dan pencegahan.. Github.
Sumber: https://www.darkreading.com/threat-intelligence/perfctl-fileless-malware-targets-millions-linux-servers