Son günlerde, Linux işletim sistemlerinde tehlikeli bir zararlı yazılım türü olan Perfctl'in ortaya çıktığı bildirilmektedir. Bu virüs, birçok makineyi etkileyerek çeşitli kötü niyetli eylemleri gerçekleştirebiliyor. Kapsamlı bir şekilde gizlenme yeteneği ve birçok yaygın yapılandırma hatasından yararlanma becerisiyle, Perfctl, binlerce bilgisayarı tehdit eden bir sorun haline gelmiştir.
Perfctl'in Tespit Edilen Özellikleri
Cyber güvenlik uzmanları, Perfctl'in en az 2021 yılından beri faaliyet gösterdiğini belirtiyor. Bu zararlı yazılım, 20.000'den fazla yaygın yapılandırma hatasından yararlanarak sistemlere sızabiliyor. Böylece, internet bağlantısı olan milyonlarca makineyi hedef alabilme potansiyeline sahip. Ayrıca, Apache RocketMQ sistemindeki CVE-2023-33246 numaralı zafiyetten faydalanabiliyor. Bu güvenlik açığı, 10 üzerinden 10 puan almış ve geçen yıl kapatılmıştır. Virüsün adı, Linux'taki 'perf' ve 'ctl' izleme araçlarının isimlerinin birleştirilmesiyle oluşturulmuş olup, gizli kripto madenciliği işlevini ifade etmektedir.
Gizlenme Stratejileri ve Rıhtım Mekanizmaları
Perfctl, gizlenmek için birçok farklı yönteme başvurmaktadır. Bileşenlerinden bazıları, operasyon sisteminden ve yönetim araçlarından gizlenebilen rütkitler olarak kurulum yapar. Virüs, kullanıcının sisteme giriş yaptığı anda, tespit edilebilir işlemleri durdurarak dikkat çekmeyi azaltır. Ayrıca, Tor ağı üzerinden Unix soketleri kullanarak dış bağlantılar kurar, kurulumdan sonra ikili dosyayı silerek arka planda hizmet olarak çalışmaya devam eder. Linux pcap_loop sürecini manipüle ederek zararlı trafiği tespit etmeyi zorlaştırır.
Virüsün Saldırı Yöntemleri ve Zararları
Perfctl, bir makinede kalıcı hale gelerek, yeniden başlatmalara veya ana bileşenlerin kaldırılmasına rağmen sistemde kalmaya devam edebilir. Kullanıcı girişinde ortamı yapılandırarak, yasal yüklerin öncesinde kendini yükleyebilir. Kripto para madenciliği yapmanın yanı sıra, sistemi bir proxy sunucusuna dönüştürerek, anonim kalmak isteyenler için ücret talep edebilir. Ek olarak, diğer kötü amaçlı yazılımların kurulumuna zemin hazırlayan bir arka kapı işlevi görmektedir.
Yayılma Yöntemleri ve Zafiyetler
Virüs, bir zafiyet veya yapılandırma hatası üzerinden sızarak, önceden ele geçirilmiş sunuculardan ana yükleri indirir. Örneğin, bir durumda, "httpd" isimli bir dosya ile bulaşma gerçekleşmiştir. Daha sonra, kendini bellekten başka bir hedefe kopyalayarak, geçici dosya alanına yerleşir ve burada tanınmış bir Linux süreci adı altında çalışır. Bu süreç, yerel kontrol ve yönetim sürecini kurarak, root yetkilerini elde etmeye çalışır.
Tehdit ve Korunma Yöntemleri
Güvenlik uzmanlarına göre, Perfctl’in bulaştığı makine sayısı binlerle ölçülmektedir; ancak yamanmamış sistemlerin sayısı milyonlarla ifade edilmektedir. Bu gizli kripto madenciliğinin ne kadar kazanç sağladığı henüz net bir şekilde hesaplanamamıştır. Kullanıcılar, sistemdeki olağan dışı CPU yüklenmeleri veya ani yavaşlamalar gibi belirtilere dikkat etmelidir. CVE-2023-33246 zafiyetinin kapatılması ve yapılandırma hatalarının düzeltilmesi, bu tür tehditlerden korunmak için kritik öneme sahiptir.
Bu konuyla ilgili düşüncelerinizi ve deneyimlerinizi duymak isteriz! Siz de bu tür zararlı yazılımlara karşı ne gibi önlemler alıyorsunuz? Yorumlarınızı bekliyoruz!
