【安全资讯】Linux恶意软件“perfctl”背后的多年加密货币挖矿活动

概要：

Linux恶意软件“perfctl”长期以来一直对Linux服务器和工作站构成威胁。其利用高水平的规避技术和rootkit来进行的是一场全球范围内的加密货币挖矿活动，对此事件的深入了解有助于揭示其对网络安全造成的重大挑战。

主要内容：

Aqua Nautilus的研究显示，“perfctl”恶意软件至少已经活跃三年，目标是数百万Linux服务器。其主要目的是利用受感染的服务器进行门罗币的加密货币挖矿，但也有潜在的能力进行更具破坏性的操作。其感染链利用配置错误和暴露的登录信息取得初步访问，例如对Apache RocketMQ和Polkit漏洞的利用。恶意负载会下载到受害者系统，并将自己伪装成正常的Linux系统进程以藏匿存在。

该恶意软件通过挂接系统功能的rootkit进行隐蔽操作，修改认证机制并拦截网络流量。此外，“perfctl”还会部署XMRIG矿工软件，使用受害者的CPU进行加密货币挖矿，并通过TOR网络进行加密通信，使得其活动难以被跟踪和识别。除了挖矿，攻击者还可能使用代理劫持软件通过出售未使用的网络带宽获利。用户常在发现服务器的CPU利用率高达100%时才意识到问题。

为了检测和防止“perfctl”的感染，Aqua Nautilus建议使用系统监控、网络流量分析及文件和进程完整性监测等手段。同时，易受攻击的应用程序应及时打补丁并关闭未使用的服务，以提高整体安全性。对于受感染的系统，建议进行彻底的系统清除和重装，以确保最大程度的安全。