Depuis 2021, des milliers de syst�mes Linux ont �t� infect�s par un logiciel malveillant nomm� Perfctl, connu pour sa furtivit� et sa capacit� � exploiter plus de 20 000 erreurs de configuration. Perfctl, qui s'installe principalement via des vuln�rabilit�s, se cache sous des noms de fichiers l�gitimes et utilise des techniques avanc�es pour �chapper � la d�tection, comme l'installation de rootkits et la manipulation des processus syst�me. Les chercheurs d'Aqua Security alertent sur la menace persistante que repr�sente Perfctl, soulignant que des millions de machines restent vuln�rables si elles n'ont pas �t� mises � jour avec les correctifs n�cessaires. Les utilisateurs sont encourag�s � surveiller leur syst�me pour des signes d'infection et � prendre des mesures pr�ventives.Parmi les techniques de furtivit�, on trouve l'interruption d'activit�s d�tectables lors de la connexion d'un nouvel utilisateur, l'utilisation d'un socket Unix via TOR pour les communications externes, la suppression du binaire d'installation apr�s son ex�cution pour fonctionner ensuite en tant que service d'arri�re-plan, la manipulation du processus Linux pcap_loop par le biais du hooking pour emp�cher les outils d'administration de capturer le trafic malveillant, ainsi que l'�limination des erreurs mesg afin d'�viter toute alerte visible durant l'ex�cution.
Ce logiciel malveillant est con�u pour assurer sa persistance, c'est-�-dire sa capacit� � rester sur la machine infect�e m�me apr�s des red�marrages ou des tentatives de suppression des composants principaux. Deux de ses m�thodes incluent la modification du script ~/.profile, permettant au logiciel malveillant de se charger avant les t�ches l�gitimes lors de la connexion de l'utilisateur, et la cr�ation de copies de lui-m�me � divers endroits sur le disque. L'accrochage de pcap_loop contribue �galement � sa persistance en permettant la poursuite des activit�s malveillantes m�me apr�s la d�tection et la suppression des charges utiles principales.
En plus d'utiliser les ressources de la machine pour miner de la cryptomonnaie, Perfctl transforme �galement l'appareil en un proxy pour relayer le trafic Internet des clients. Les chercheurs d'Aqua Security ont �galement constat� que ce logiciel malveillant servait de porte d�rob�e pour installer d'autres types de logiciel malveillants. Assaf Morag, directeur de la veille sur les menaces chez Aqua Security, a not� par email que Perfctl constitue une menace s�rieuse en raison de sa conception, qui lui permet de rester ind�tectable tout en persistant dans les syst�mes infect�s. Cette combinaison repr�sente un d�fi pour les d�fenseurs, et le logiciel malveillant a �t� au centre d'un nombre croissant de rapports et de discussions sur divers forums, mettant en lumi�re la d�tresse et la frustration des utilisateurs infect�s.
Perfctl utilise un rootkit et modifie certains utilitaires syst�mes pour cacher les activit�s de minage et de piratage de proxy. Il s�int�gre parfaitement dans l�environnement Linux avec des noms qui semblent l�gitimes. De plus, son architecture lui permet d'effectuer une large gamme d'activit�s malveillantes, allant de l'exfiltration de donn�es au d�ploiement de charges utiles suppl�mentaires. Sa polyvalence le rend particuli�rement dangereux tant pour les entreprises que pour les particuliers.
Apr�s avoir exploit� une vuln�rabilit� ou une mauvaise configuration, le code malveillant t�l�charge la charge utile principale � partir d'un serveur, g�n�ralement pirat� par le cybercriminel pour servir de canal de distribution anonyme. Une attaque ciblant un pot de miel a identifi� cette charge utile sous le nom de httpd. Une fois lanc�e, elle se copie dans un nouvel emplacement dans le r�pertoire /tmp, s'ex�cute, puis termine le processus original et supprime le binaire t�l�charg�.
Dans /tmp, le fichier s'ex�cute sous un autre nom, imitant un processus Linux connu, tel que "sh", et �tablit un processus de commande et de contr�le, tout en tentant d'obtenir des droits syst�me en exploitant la CVE-2021-4043, une vuln�rabilit� d'�l�vation des privil�ges corrig�e en 2021 dans Gpac. Le logiciel malveillant continue � se copier dans plusieurs autres emplacements sur le disque, utilisant des noms qui ressemblent � des fichiers syst�me. Il d�ploie �galement un rootkit, modifiant des utilitaires Linux populaires pour masquer ses activit�s, ainsi qu'un logiciel de "proxy-jacking" pour rediriger le trafic Internet de mani�re discr�te.
Pour ses op�rations de commande et de contr�le, le logiciel malveillant ouvre une prise Unix, cr�e deux r�pertoires dans /tmp et y stocke des donn�es qui influencent son fonctionnement, comme les �v�nements de l'h�te, les emplacements de ses copies, les noms de processus et les journaux de communication. Il utilise aussi des variables d'environnement pour g�rer son ex�cution. Tous les binaires sont emball�s, d�pouill�s et chiffr�s, montrant des efforts significatifs pour contourner les mesures de s�curit� et compliquer la r�tro-ing�nierie. De plus, le logiciel malveillant applique des techniques d'�vasion avanc�es, comme l'interruption de son activit� lorsqu'il d�tecte un nouvel utilisateur dans les fichiers btmp ou utmp et l'arr�t d'autres logiciels malveillants pour maintenir le contr�le sur le syst�me infect�. Le diagramme ci-dessous illustre le d�roulement de l'attaque :
En analysant des donn�es sur le nombre de serveurs Linux connect�s � Internet via divers services et applications, comme ceux suivis par Shodan et Censys, les chercheurs estiment que des milliers de machines sont infect�es par Perfctl. Ils estiment �galement que le nombre de machines vuln�rables � c'est-�-dire celles qui n'ont pas encore appliqu� le correctif pour la vuln�rabilit� CVE-2023-33246 ou qui pr�sentent des configurations incorrectes � se chiffre en millions. La quantit� de crypto-monnaie g�n�r�e par les mineurs malveillants n'a pas encore �t� �valu�e.
Pour v�rifier si leur appareil a �t� cibl� ou infect� par Perfctl, les utilisateurs doivent se r�f�rer aux indicateurs de compromission mentionn�s dans le rapport de jeudi. Ils doivent �galement pr�ter attention � des pics inhabituels d'utilisation du processeur ou � des ralentissements soudains, notamment pendant les p�riodes d'inactivit�. Pour pr�venir les infections, il est crucial d'appliquer le correctif pour CVE-2023-33246 et de corriger les erreurs de configuration signal�es par Aqua Security. Le rapport de jeudi contient d'autres recommandations pour �viter les infections.
S�curit� des syst�mes d'exploitation et le mythe de l'immunit� de Linux
La question de la s�curit� entre Linux et Windows est devenue particuli�rement pertinente � la lumi�re des r�cents incidents de s�curit�, notamment avec l'apparition de logiciels malveillants tels que Perfctl. Cette situation soul�ve des interrogations sur la perception courante selon laquelle Linux est intrins�quement plus s�curis� que Windows. Alors que Linux pr�sente des avantages en mati�re de s�curit� gr�ce � son architecture open source et � sa gestion stricte des permissions, l'impact de telles menaces souligne la vuln�rabilit� de tous les syst�mes d'exploitation face � des erreurs de configuration et des exploits.
La comparaison de la s�curit� entre Windows et Linux est un sujet riche et complexe, souvent d�battu parmi les utilisateurs et les professionnels de l'informatique. Chaque syst�me d'exploitation pr�sente des avantages et des inconv�nients en mati�re de s�curit�, influenc�s par leur conception, leur architecture et leur utilisation dans le monde r�el.
Tout d'abord, Linux est souvent consid�r� comme plus s�curis� que Windows, principalement en raison de sa structure open source. Cela signifie que son code source est accessible � tous, permettant une r�vision constante par la communaut�. Cette transparence favorise la d�tection rapide des vuln�rabilit�s et des failles de s�curit�, qui peuvent �tre corrig�es rapidement. De plus, la gestion des permissions sous Linux est g�n�ralement plus stricte, ce qui r�duit le risque d'exploitation par des logiciels malveillants. Les utilisateurs ont �galement tendance � avoir un meilleur contr�le sur les services qui s'ex�cutent sur leur syst�me, ce qui renforce la s�curit�.
En revanche, Windows est souvent la cible privil�gi�e des cybercriminels en raison de sa popularit�. Avec une part de march� importante, en particulier dans le secteur des entreprises, Windows est souvent per�u comme une proie lucrative. Bien que Microsoft ait consid�rablement am�lior� la s�curit� de Windows au fil des ans, en int�grant des fonctionnalit�s comme Windows Defender et des mises � jour de s�curit� r�guli�res, le syst�me reste vuln�rable � de nombreuses menaces. La facilit� d'utilisation de Windows et sa compatibilit� avec une multitude de logiciels en font une cible attrayante pour les attaques.
Un autre aspect � consid�rer est la gestion des mises � jour de s�curit�. Sous Linux, les mises � jour sont souvent plus rapides et peuvent �tre centralis�es via des gestionnaires de paquets. Cela permet aux utilisateurs de maintenir leur syst�me � jour avec moins d'effort. � l'inverse, Windows a parfois �t� critiqu� pour sa gestion des mises � jour, qui peut �tre intrusive et sujette � des interruptions. Les utilisateurs peuvent �galement n�gliger ces mises � jour, ce qui expose leur syst�me � des risques de s�curit�.
Perfctl illustre les d�fis auxquels Linux fait face malgr� sa r�putation de s�curit�. Bien que la majorit� des distributions Linux soient con�ues pour minimiser les risques, ce logiciel malveillant a su exploiter des vuln�rabilit�s et des configurations...
La fin de cet article est r�serv�e aux abonn�s. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer � vous proposer des publications.
