top of page

Linux Malware „Perfctl“: Heimliches Kryptomining und Proxyjacking auf Servern

In den letzten Jahren hat sich eine neue Bedrohung in der Linux-Server-Welt etabliert: Die Malware Perfctl. Diese besonders heimtückische Schadsoftware hat es auf ungesicherte und falsch konfigurierte Linux-Server abgesehen und nutzt sie vor allem für das heimliche Kryptomining und Proxyjacking. Die Sicherheitsforscher von Aqua Security, die die Malware entdeckt haben, schätzen, dass Millionen von Servern weltweit betroffen sein könnten.



linux
Bildquelle: https://hackread.com/


Was ist „Perfctl“ auf Linux?

Perfctl ist eine Linux-Malware, die seit mindestens 2021 aktiv ist. Ihr Hauptziel ist das Mining der Kryptowährung Monero, einer besonders schwer verfolgbaren digitalen Währung. Doch das ist nicht die einzige Gefahr: Neben Kryptomining wird die Malware auch dazu verwendet, den Netzwerkverkehr über infizierte Server zu leiten, ein Vorgang, der als Proxyjacking bezeichnet wird.



Infektionsweg und Funktionsweise

Die Angreifer hinter der Malware nutzen Schwachstellen oder falsch konfigurierte Linux-Server, um sich Zugang zu verschaffen. Besonders häufig wird dabei die Schwachstelle CVE-2023-33246 in Apache RocketMQ und CVE-2021-4034 in Polkit ausgenutzt. Sobald der Zugriff erfolgt ist, lädt die Malware ihren schädlichen Code herunter, der sich tief im System versteckt. Einmal installiert, kommuniziert sie über das TOR-Netzwerk, um ihre Aktivitäten zu verschleiern.


Die Malware zeichnet sich durch ihre Tarnfähigkeit aus: Sie versteckt sich als legitime Systemprozesse, wie z. B. „httpd“ oder „sh“, und ist schwer zu entdecken. Ein weiteres Merkmal ist, dass Perfctl seine Aktivitäten sofort stoppt, wenn ein Administrator auf den Server zugreift, und erst wieder startet, wenn der Server im Leerlauf ist.



js werbung
jetzt anrufen und Beratungstermin vereinbaren: 06109 - 5063847


Auswirkungen auf Server und Nutzer

Viele Administratoren bemerken die Infektion erst, wenn die Server-CPU unerklärlich ausgelastet ist. Da die Malware in erster Linie für das Mining von Monero genutzt wird, kann dies zu erheblichen Leistungseinbußen führen. Zudem wird durch die Verschleierung der Netzwerkkommunikation über TOR das Erkennen der Aktivitäten weiter erschwert.



Wie kann man sich schützen?

Um sich gegen Perfctl zu schützen, sollten Systemadministratoren regelmäßige Sicherheitsüberprüfungen durchführen und sicherstellen, dass alle bekannten Schwachstellen gepatcht sind. Aqua Security empfiehlt, besonders auf ungewöhnliche CPU-Auslastung zu achten und die Netzwerkverbindungen auf verdächtige TOR-Traffic-Muster hin zu analysieren. Ein umfassender Schutz setzt zudem auf die regelmäßige Überwachung von Systemdateien, Prozessen und Netzwerkkonfigurationen.



Fazit

Perfctl zeigt eindrucksvoll, wie anfällig falsch konfigurierte Linux-Server sein können und wie ausgeklügelt moderne Malware mittlerweile agiert. Besonders für Unternehmen und Dienstleister, die Linux-Server betreiben, ist es essenziell, ihre Systeme kontinuierlich zu überwachen und Schwachstellen sofort zu schließen. Der Einsatz von umfassenden Sicherheitslösungen und die Einhaltung der besten Praktiken für Serverkonfigurationen sind unerlässlich, um solche Bedrohungen abzuwehren.










Quellen:

13 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Viren und Ihre Arten

Comments


bottom of page