详细内容或原文请订阅后点击阅览
Perfectl 恶意软件
完美地融入了令人印象深刻的恶意软件:该恶意软件至少从 2021 年开始流传。Aqua Security 的研究人员表示,它通过利用 20,000 多个常见的错误配置来安装,这种能力可能会使数百万台连接到互联网的机器成为潜在目标。它还可以利用 CVE-2023-33246,这是一个严重等级为 10 分(满分 10 分)的漏洞,去年在 Apache RocketMQ 中进行了修补,Apache RocketMQ 是一个在许多 Linux 机器上发现的消息传递和流媒体平台。研究人员将恶意软件称为 Perfctl,这是一个秘密挖掘加密货币的恶意组件的名称。恶意软件的未知开发者给该进程起了一个名字,结合了 perf Linux 监控工具和 ctl,后者是命令行工具中常用的缩写。 Perfctl 的一个标志性特征是其使用与 Linux 环境中常见的名称相同或相似的进程和文件名。命名约定是恶意软件试图逃避受感染用户注意的众多方法之一...
来源:Schneier _恶意软件PerfectL恶意软件
Perfectl在令人印象深刻的恶意软件中:
令人印象深刻的作品Aqua Security的研究人员说,该恶意软件至少从2021年起就一直在发行。通过利用超过20,000多个常见的错误配置来安装,这种功能可能会使数百万个机器连接到Internet潜在目标。它还可以利用CVE-2023-33246,这是一个漏洞,严重程度为10分的漏洞,该漏洞是去年在Apache RocketMQ上修补的,Apache RocketMQ是一个消息传递和流媒体平台,在许多Linux机器上都发现。
研究人员称恶意软件perfctl,这是秘密地雷加密货币的恶意组成部分的名称。恶意软件的未知开发人员为该过程提供了一个名称,将Perf Linux监视工具和CTL(通常与命令行工具一起使用)结合在一起。 PERFCTL的签名特征是其使用与Linux环境中常见的过程和文件名相同或相似的过程和文件名。命名约定是恶意软件试图逃避感染用户通知的众多方式之一。
perfctl使用许多其他技巧进一步掩盖了自己。其中之一是它将其许多组件作为Rootkits安装,这是一种特殊的恶意软件,将其在操作系统和管理工具中隐藏起来。其他隐形机制包括:
- 停止活动何时在新用户登录执行后的外部通信二进制并作为背景服务运行的外部通信,然后将Unix插件登录,然后将其作为背景服务运行,此后按下Linux PCAP_LOOP通过一种被称为挂钩的技术,以防止管理工具在访问MESG上遇到任何可行的MESG,避免执行任何访问。