IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Des milliers de systèmes Linux infectés par le logiciel malveillant furtif Perfctl depuis 2021


Sujet :

Linux

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 976
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 976
    Points : 38 427
    Points
    38 427
    Par défaut Des milliers de systèmes Linux infectés par le logiciel malveillant furtif Perfctl depuis 2021
    Des milliers de systèmes Linux infectés par le logiciel malveillant furtif Perfctl depuis 2021,
    illustrant les défis de sécurité auxquels Linux fait face

    Depuis 2021, des milliers de systèmes Linux ont été infectés par un logiciel malveillant nommé Perfctl, connu pour sa furtivité et sa capacité à exploiter plus de 20 000 erreurs de configuration. Perfctl, qui s'installe principalement via des vulnérabilités, se cache sous des noms de fichiers légitimes et utilise des techniques avancées pour échapper à la détection, comme l'installation de rootkits et la manipulation des processus système. Les chercheurs d'Aqua Security alertent sur la menace persistante que représente Perfctl, soulignant que des millions de machines restent vulnérables si elles n'ont pas été mises à jour avec les correctifs nécessaires. Les utilisateurs sont encouragés à surveiller leur système pour des signes d'infection et à prendre des mesures préventives.

    Parmi les techniques de furtivité, on trouve l'interruption d'activités détectables lors de la connexion d'un nouvel utilisateur, l'utilisation d'un socket Unix via TOR pour les communications externes, la suppression du binaire d'installation après son exécution pour fonctionner ensuite en tant que service d'arrière-plan, la manipulation du processus Linux pcap_loop par le biais du hooking pour empêcher les outils d'administration de capturer le trafic malveillant, ainsi que l'élimination des erreurs mesg afin d'éviter toute alerte visible durant l'exécution.

    Ce logiciel malveillant est conçu pour assurer sa persistance, c'est-à-dire sa capacité à rester sur la machine infectée même après des redémarrages ou des tentatives de suppression des composants principaux. Deux de ses méthodes incluent la modification du script ~/.profile, permettant au logiciel malveillant de se charger avant les tâches légitimes lors de la connexion de l'utilisateur, et la création de copies de lui-même à divers endroits sur le disque. L'accrochage de pcap_loop contribue également à sa persistance en permettant la poursuite des activités malveillantes même après la détection et la suppression des charges utiles principales.

    Nom : LinuxSec.PNG
Affichages : 102565
Taille : 508,9 Ko

    En plus d'utiliser les ressources de la machine pour miner de la cryptomonnaie, Perfctl transforme également l'appareil en un proxy pour relayer le trafic Internet des clients. Les chercheurs d'Aqua Security ont également constaté que ce logiciel malveillant servait de porte dérobée pour installer d'autres types de logiciel malveillants. Assaf Morag, directeur de la veille sur les menaces chez Aqua Security, a noté par email que Perfctl constitue une menace sérieuse en raison de sa conception, qui lui permet de rester indétectable tout en persistant dans les systèmes infectés. Cette combinaison représente un défi pour les défenseurs, et le logiciel malveillant a été au centre d'un nombre croissant de rapports et de discussions sur divers forums, mettant en lumière la détresse et la frustration des utilisateurs infectés.

    Perfctl utilise un rootkit et modifie certains utilitaires systèmes pour cacher les activités de minage et de piratage de proxy. Il s’intègre parfaitement dans l’environnement Linux avec des noms qui semblent légitimes. De plus, son architecture lui permet d'effectuer une large gamme d'activités malveillantes, allant de l'exfiltration de données au déploiement de charges utiles supplémentaires. Sa polyvalence le rend particulièrement dangereux tant pour les entreprises que pour les particuliers.

    Après avoir exploité une vulnérabilité ou une mauvaise configuration, le code malveillant télécharge la charge utile principale à partir d'un serveur, généralement piraté par le cybercriminel pour servir de canal de distribution anonyme. Une attaque ciblant un pot de miel a identifié cette charge utile sous le nom de httpd. Une fois lancée, elle se copie dans un nouvel emplacement dans le répertoire /tmp, s'exécute, puis termine le processus original et supprime le binaire téléchargé.

    Dans /tmp, le fichier s'exécute sous un autre nom, imitant un processus Linux connu, tel que "sh", et établit un processus de commande et de contrôle, tout en tentant d'obtenir des droits système en exploitant la CVE-2021-4043, une vulnérabilité d'élévation des privilèges corrigée en 2021 dans Gpac. Le logiciel malveillant continue à se copier dans plusieurs autres emplacements sur le disque, utilisant des noms qui ressemblent à des fichiers système. Il déploie également un rootkit, modifiant des utilitaires Linux populaires pour masquer ses activités, ainsi qu'un logiciel de "proxy-jacking" pour rediriger le trafic Internet de manière discrète.

    Pour ses opérations de commande et de contrôle, le logiciel malveillant ouvre une prise Unix, crée deux répertoires dans /tmp et y stocke des données qui influencent son fonctionnement, comme les événements de l'hôte, les emplacements de ses copies, les noms de processus et les journaux de communication. Il utilise aussi des variables d'environnement pour gérer son exécution. Tous les binaires sont emballés, dépouillés et chiffrés, montrant des efforts significatifs pour contourner les mesures de sécurité et compliquer la rétro-ingénierie. De plus, le logiciel malveillant applique des techniques d'évasion avancées, comme l'interruption de son activité lorsqu'il détecte un nouvel utilisateur dans les fichiers btmp ou utmp et l'arrêt d'autres logiciels malveillants pour maintenir le contrôle sur le système infecté. Le diagramme ci-dessous illustre le déroulement de l'attaque :

    Nom : atta.PNG
Affichages : 24603
Taille : 176,2 Ko

    En analysant des données sur le nombre de serveurs Linux connectés à Internet via divers services et applications, comme ceux suivis par Shodan et Censys, les chercheurs estiment que des milliers de machines sont infectées par Perfctl. Ils estiment également que le nombre de machines vulnérables — c'est-à-dire celles qui n'ont pas encore appliqué le correctif pour la vulnérabilité CVE-2023-33246 ou qui présentent des configurations incorrectes — se chiffre en millions. La quantité de crypto-monnaie générée par les mineurs malveillants n'a pas encore été évaluée.

    Pour vérifier si leur appareil a été ciblé ou infecté par Perfctl, les utilisateurs doivent se référer aux indicateurs de compromission mentionnés dans le rapport de jeudi. Ils doivent également prêter attention à des pics inhabituels d'utilisation du processeur ou à des ralentissements soudains, notamment pendant les périodes d'inactivité. Pour prévenir les infections, il est crucial d'appliquer le correctif pour CVE-2023-33246 et de corriger les erreurs de configuration signalées par Aqua Security. Le rapport de jeudi contient d'autres recommandations pour éviter les infections.

    Sécurité des systèmes d'exploitation et le mythe de l'immunité de Linux

    La question de la sécurité entre Linux et Windows est devenue particulièrement pertinente à la lumière des récents incidents de sécurité, notamment avec l'apparition de logiciels malveillants tels que Perfctl. Cette situation soulève des interrogations sur la perception courante selon laquelle Linux est intrinsèquement plus sécurisé que Windows. Alors que Linux présente des avantages en matière de sécurité grâce à son architecture open source et à sa gestion stricte des permissions, l'impact de telles menaces souligne la vulnérabilité de tous les systèmes d'exploitation face à des erreurs de configuration et des exploits.

    La comparaison de la sécurité entre Windows et Linux est un sujet riche et complexe, souvent débattu parmi les utilisateurs et les professionnels de l'informatique. Chaque système d'exploitation présente des avantages et des inconvénients en matière de sécurité, influencés par leur conception, leur architecture et leur utilisation dans le monde réel.

    Tout d'abord, Linux est souvent considéré comme plus sécurisé que Windows, principalement en raison de sa structure open source. Cela signifie que son code source est accessible à tous, permettant une révision constante par la communauté. Cette transparence favorise la détection rapide des vulnérabilités et des failles de sécurité, qui peuvent être corrigées rapidement. De plus, la gestion des permissions sous Linux est généralement plus stricte, ce qui réduit le risque d'exploitation par des logiciels malveillants. Les utilisateurs ont également tendance à avoir un meilleur contrôle sur les services qui s'exécutent sur leur système, ce qui renforce la sécurité.

    En revanche, Windows est souvent la cible privilégiée des cybercriminels en raison de sa popularité. Avec une part de marché importante, en particulier dans le secteur des entreprises, Windows est souvent perçu comme une proie lucrative. Bien que Microsoft ait considérablement amélioré la sécurité de Windows au fil des ans, en intégrant des fonctionnalités comme Windows Defender et des mises à jour de sécurité régulières, le système reste vulnérable à de nombreuses menaces. La facilité d'utilisation de Windows et sa compatibilité avec une multitude de logiciels en font une cible attrayante pour les attaques.

    Un autre aspect à considérer est la gestion des mises à jour de sécurité. Sous Linux, les mises à jour sont souvent plus rapides et peuvent être centralisées via des gestionnaires de paquets. Cela permet aux utilisateurs de maintenir leur système à jour avec moins d'effort. À l'inverse, Windows a parfois été critiqué pour sa gestion des mises à jour, qui peut être intrusive et sujette à des interruptions. Les utilisateurs peuvent également négliger ces mises à jour, ce qui expose leur système à des risques de sécurité.

    Perfctl illustre les défis auxquels Linux fait face malgré sa réputation de sécurité. Bien que la majorité des distributions Linux soient conçues pour minimiser les risques, ce logiciel malveillant a su exploiter des vulnérabilités et des configurations défaillantes pour se propager. L'ampleur de la menace, estimée à des millions de machines vulnérables, remet en question l'idée que le simple fait d'utiliser Linux suffit à garantir une sécurité solide. Ce constat rappelle que la sécurité d’un système d’exploitation dépend fortement de l’attention portée à la configuration, à la mise à jour et à la gestion des permissions.

    Windows, en revanche, a longtemps été le principal objectif des cyberattaques, non seulement en raison de sa part de marché, mais aussi en raison de son architecture qui, dans le passé, a présenté des failles significatives. Cependant, Microsoft a renforcé ses mesures de sécurité ces dernières années, avec des mises à jour fréquentes et des outils intégrés tels que Windows Defender. Cela dit, la complexité croissante du système, alliée à la gestion parfois chaotique des mises à jour, continue de poser des problèmes. L’utilisateur moyen, peu sensibilisé aux bonnes pratiques de sécurité, reste plus vulnérable aux attaques, ce qui fait de Windows une cible de choix.

    Une des leçons à tirer de l'incident de Perfctl est que même un système réputé pour sa sécurité peut être compromis. Cela souligne l'importance d'une vigilance constante et d'une éducation sur la sécurité pour tous les utilisateurs, qu'ils soient sous Linux ou Windows. Les comportements d'utilisation, tels que le téléchargement de logiciels non vérifiés ou la négligence des mises à jour de sécurité, sont des facteurs critiques qui peuvent mener à des infections, rendant ainsi chaque système potentiellement vulnérable.


    La sécurité informatique ne devrait pas être perçue comme un simple choix entre deux systèmes d'exploitation, mais plutôt comme un ensemble de pratiques et de responsabilités partagées. Les utilisateurs doivent être proactifs dans la protection de leurs systèmes, qu'ils choisissent Linux ou Windows. L’incident de Perfctl met en lumière la nécessité de sensibiliser davantage les utilisateurs aux risques associés à l'utilisation de tout système d'exploitation et à l'importance d'une configuration correcte, d'une mise à jour régulière et d'une surveillance active pour assurer une sécurité optimale. En somme, chaque système a ses forces et ses faiblesses, mais la sécurité dépend avant tout des actions des utilisateurs.

    Source : Aquasec

    Et vous ?

    Quel est votre avis sur le sujet ?

    Pensez-vous que Linux offre une meilleure sécurité que Windows ?

    Dans quelle mesure l'architecture open source de Linux contribue-t-elle réellement à sa sécurité par rapport à des systèmes propriétaires comme Windows ?

    Voir aussi :

    Grave faille RCE non authentifiée (CVSS 9.9) dans les systèmes GNU/Linux en attente de divulgation complète, la vulnérabilité permet l'exécution de code à distance non authentifiée (RCE)

    Kaspersky lance un scanner de malwares pour Linux, mais à qui faire le plus confiance ? Les malwares ou Kaspersky ? Avec le logiciel russe Kaspersky, vous êtes sûr que la NSA n'aura pas accès à vos données

    La nouvelle attaque Spectre V2 touche les systèmes Linux équipés de processeurs Intel, permettant aux attaquants non authentifiés de lire des données de mémoire arbitraires en contournant la sécurité
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2024
    Messages
    52
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Août 2024
    Messages : 52
    Points : 193
    Points
    193
    Par défaut
    le simple fait d'utiliser Linux suffit à garantir une sécurité solide
    On peut avoir l'OS le plus sécurisé du monde, si le mot de passe d'accès à distance du compte admin est 1234, l'OS ne pourra pas garantir la sécurité.
    La vrai notion que sous entend en faite l'idée, c'est ce que j’appellerai "l'hygiène de l'utilisation". Sous Windows, vous voulez un utilitaire pour ouvrir un fichier un peu spécial (fichier odf par exemple), le premier réflexe est de rechercher sur google l'application pour l'ouvrir et l'installer. De même, s'il manque une bibliothèque .dll, une recherche google pour trouvé qui la fournie. Et c'est là déjà un risque majeur, d'une part, bon nombre de site malveillant se feront une joie de fournir une version vérolée, d'autre part, les mises à jours correctives seront à installer manuellement ou via un système de MàJ custom et déconnecté des MàJ Windows. Intrinsèquement Windows pousse à une hygiène d'utilisation risquée. Il y a du mieux avec avec le Windows store ou encore nuget, mais c'est au cas par cas.
    Avec les distributions GNU/Linux, les applications et bibliothèques s'installent en premier à travers des gestionnaires de paquet ce qui réduit les risques d'installer une version vérolée (ça ne garantie nullement d'être victime, exemple de XZ utils qui par chance fut découvert avant d'être dans des versions de production pour la majorité des distributions). Cela permet aussi un seul système de MàJ de tout mettre à jour. On y favorise donc une hygiène d'utilisation moins risquée.

    En cherchant plus loin, on peut parler des politiques de mise à jour:
    - sous les distributions Linux, les mises à jour de sécurité sont faites au fur et à mesure que les failles sont découvertes, souvent de l'ordre de quelque jours. Cela prend souvent moins d'une semaine et il est facile de lier une faille à son correctif
    - avec Windows, à moins de cas critique, il faut attendre le "Tuesday patch" pour avoir les derniers correctifs, ce qui laisse un bon mois pour l'exploitation de faille ... si toutes fois Microsoft daigne sortir un correctif pour le mois suivant

    Mais en fin de compte, on très bien avoir une bonne hygiène sous Windows et n'avoir aucun problème et utiliser une distribution GNU/Linux et chopper la première saloperie qui passe. La sécurité dépend de son maillon le plus faible, il faut donc un système d'exploitation robuste et un utilisateur bien formé pour réduire au maximum les risques.

  3. #3
    Membre expérimenté
    Profil pro
    Ingénieur système Linux N3
    Inscrit en
    Juillet 2008
    Messages
    422
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur système Linux N3

    Informations forums :
    Inscription : Juillet 2008
    Messages : 422
    Points : 1 534
    Points
    1 534
    Par défaut Bonne configuration
    La cybersécurité, c'est réduire en permanence la surface d'attaque possible
    Les répertoires de configuration des logiciels accessibles depuis l'extérieur, en lecture seule
    Les répertoires /home et /tmp, sur des FS séparés en montés en noexec

  4. #4
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    492
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 492
    Points : 1 387
    Points
    1 387
    Billets dans le blog
    1
    Par défaut
    Bonjour;
    "Les répertoires /home et /tmp, sur des FS séparés en montés en noexec"

    le /home pour un développeur ????? (il développe comment et test comment)

    mais avoir un /home admin et /home utilisateur réduit drastiquement la vulnérabilité. Rappel les droits d'utilisateur sont loin très loin d'être celui de l'administrateur

    /tmp n'est que sous root, et l'on ne doit jamais travailler (utilisateur) sous root

    dans l'article, on pense que l'utilisateur va être admin, ce qui est un non-sens.

    Et comme il est dit plus haut, les paquets sont vérifiés avec l'utilitaire fourni lors de l'installation.

    Alors bien-sûr, si tu enlèves ta culotte, ben, tu es tout nu. Mais ça, aucun système n'a de parade.

    Il y a quelques règles lorsque l'on travaille avec Linux que l'on précise de lire bien avant de commencer une installation.



    De même, sous Windows, il y a des choses à ne pas faire.

Discussions similaires

  1. Réponses: 3
    Dernier message: 05/01/2023, 13h52
  2. Réponses: 0
    Dernier message: 23/09/2018, 11h31
  3. Réponses: 2
    Dernier message: 25/07/2018, 03h41
  4. Linux infecté par une variante de Turla
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 36
    Dernier message: 28/11/2015, 16h44
  5. Opération Windigo : des milliers de serveurs Linux infectés
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 12
    Dernier message: 30/03/2014, 13h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo