世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は？：セキュリティニュースアラート

Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。

[後藤大地，有限会社オングス]

　Aqua Securityは2024年10月3日（現地時間）、「Linux」サーバを標的とする新たなステルス型マルウェア「perfctl」を発見したと発表した。2万種類以上の設定ミスを利用して世界中のLinuxサーバを悪用するという。

世界中のLinuxを狙うステルス型マルウェア「perfctl」　検出する方法は？

　Aqua Securityによると、perfctlはステルス性が高く持続性があり、洗練された技術を駆使するマルウェアとされている。主な特徴は以下の通りだ。

• ルートキットによる隠蔽（いんぺい）：　ルートキットを使用してシステム内での存在を隠す。通常のシステムプロセスと見分けがつきにくいため、サーバ管理者に見つかるのを防ぐ目的があると思われる
• 活動の停止や再開機能：　サーバへの新たなユーザーのログインを検知するとノイズの多い悪意のある活動を直ちに停止してサーバがアイドル状態になるまで待機する。実行後にバイナリーを削除し、バックグラウンドで静かに動作を続ける
• 内部通信と外部通信の手段：　内部通信にはUNIXソケット、外部通信には匿名性を確保するために「Tor」を使用する
• 多層的な持続メカニズム：　永続性を確保するためメモリからディスク上の複数の場所に自らをコピーする。また、ファイル名をシステムファイルに似せた名前に偽装する
• 脆弱（ぜいじゃく）性の悪用：　UNIX系のOS「Polkit」の脆弱性（CVE-2021-4043）を悪用して権限昇格を試みる
• 暗号通貨マイニング：　観察された全ての攻撃においてクリプトマイナーを実行し、サーバのリソースを消耗させる。幾つかのケースではプロキシジャッキングソフトウェアの実行も検出されている

　Perfctlの検出方法としてCPU使用率の異常な上昇やシステムの速度低下に注目するよう助言している。特にサーバのアイドル状態時に暗号通貨マイニング活動が実行されている可能性がある。システムディレクトリ（/tmp、/usr、/rootなど）内に疑わしいバイナリーや隠しファイルがないかどうかを確認することや不審なプロセスおよびTor通信の調査、ログ解析による不正使用や改ざんの確認を勧めている。

　緩和策として全ての脆弱性（特にRocketMQサーバやPolkit）が修正されており、最新の状態に保たれていることを確認することが推奨されている。また/tmpや/dev、/shmなどの書き込み可能なディレクトリに対して「noexec」を設定することや不要なサービス（特にHTTPサービスなど）の無効化、重要なファイルやディレクトリへのアクセス制限、ネットワークのセグメンテーション化も推奨している。