Depuis 2021, des milliers de systmes Linux ont t infects par un logiciel malveillant nomm Perfctl, connu pour sa furtivit et sa capacit exploiter plus de 20 000 erreurs de configuration. Perfctl, qui s’installe principalement via des vulnrabilits, se cache sous des noms de fichiers lgitimes et utilise des techniques avances pour chapper la dtection, comme l’installation de rootkits et la manipulation des processus systme. Les chercheurs d’Aqua Security alertent sur la menace persistante que reprsente Perfctl, soulignant que des millions de machines restent vulnrables si elles n’ont pas t mises jour avec les correctifs ncessaires. Les utilisateurs sont encourags surveiller leur systme pour des signes d’infection et prendre des mesures prventives.
Parmi les techniques de furtivit, on trouve l’interruption d’activits dtectables lors de la connexion d’un nouvel utilisateur, l’utilisation d’un socket Unix via TOR pour les communications externes, la suppression du binaire d’installation aprs son excution pour fonctionner ensuite en tant que service d’arrire-plan, la manipulation du processus Linux pcap_loop par le biais du hooking pour empcher les outils d’administration de capturer le trafic malveillant, ainsi que l’limination des erreurs mesg afin d’viter toute alerte visible durant l’excution.
Ce logiciel malveillant est conu pour assurer sa persistance, c’est–dire sa capacit rester sur la machine infecte mme aprs des redmarrages ou des tentatives de suppression des composants principaux. Deux de ses mthodes incluent la modification du script ~/.profile, permettant au logiciel malveillant de se charger avant les tches lgitimes lors de la connexion de l’utilisateur, et la cration de copies de lui-mme divers endroits sur le disque. L’accrochage de pcap_loop contribue galement sa persistance en permettant la poursuite des activits malveillantes mme aprs la dtection et la suppression des charges utiles principales.
En plus d’utiliser les ressources de la machine pour miner de la cryptomonnaie, Perfctl transforme galement l’appareil en un proxy pour relayer le trafic Internet des clients. Les chercheurs d’Aqua Security ont galement constat que ce logiciel malveillant servait de porte drobe pour installer d’autres types de logiciel malveillants. Assaf Morag, directeur de la veille sur les menaces chez Aqua Security, a not par email que Perfctl constitue une menace srieuse en raison de sa conception, qui lui permet de rester indtectable tout en persistant dans les systmes infects. Cette combinaison reprsente un dfi pour les dfenseurs, et le malware a t au centre d’un nombre croissant de rapports et de discussions sur divers forums, mettant en lumire la dtresse et la frustration des utilisateurs infects.
Perfctl utilise un rootkit et modifie certains utilitaires systmes pour cacher les activits de minage et de piratage de proxy. Il sintgre parfaitement dans lenvironnement Linux avec des noms qui semblent lgitimes. De plus, son architecture lui permet d’effectuer une large gamme d’activits malveillantes, allant de l’exfiltration de donnes au dploiement de charges utiles supplmentaires. Sa polyvalence le rend particulirement dangereux tant pour les entreprises que pour les particuliers.
Aprs avoir exploit une vulnrabilit ou une mauvaise configuration, le code malveillant tlcharge la charge utile principale partir d’un serveur, gnralement pirat par le cybercriminel pour servir de canal de distribution anonyme. Une attaque ciblant un pot de miel a identifi cette charge utile sous le nom de httpd. Une fois lance, elle se copie dans un nouvel emplacement dans le rpertoire /tmp, s’excute, puis termine le processus original et supprime le binaire tlcharg.
Dans /tmp, le fichier s’excute sous un autre nom, imitant un processus Linux connu, tel que « sh« , et tablit un processus de commande et de contrle, tout en tentant d’obtenir des droits systme en exploitant la CVE-2021-4043, une vulnrabilit d’lvation des privilges corrige en 2021 dans Gpac. Le malware continue se copier dans plusieurs autres emplacements sur le disque, utilisant des noms qui ressemblent des fichiers systme. Il dploie galement un rootkit, modifiant des utilitaires Linux populaires pour masquer ses activits, ainsi qu’un logiciel de « proxy-jacking » pour rediriger le trafic Internet de manire discrte.
Pour ses oprations de commande et de contrle, le malware ouvre une prise Unix, cre deux rpertoires dans /tmp et y stocke des donnes qui influencent son fonctionnement, comme les vnements de l’hte, les emplacements de ses copies, les noms de processus et les journaux de communication. Il utilise aussi des variables d’environnement pour grer son excution. Tous les binaires sont emballs, dpouills et chiffrs, montrant des efforts significatifs pour contourner les mesures de scurit et compliquer la rtro-ingnierie. De plus, le malware applique des techniques d’vasion avances, comme l’interruption de son activit lorsqu’il dtecte un nouvel utilisateur dans les fichiers btmp ou utmp et l’arrt d’autres malwares pour maintenir le contrle sur le systme infect. Le diagramme ci-dessous illustre le droulement de l’attaque :
En analysant des donnes sur le nombre de serveurs Linux connects Internet via divers services et applications, comme ceux suivis par Shodan et Censys, les chercheurs estiment que des milliers de machines sont infectes par Perfctl. Ils estiment galement que le nombre de machines vulnrables c’est–dire celles qui n’ont pas encore appliqu le correctif pour la vulnrabilit CVE-2023-33246 ou qui prsentent des configurations incorrectes se chiffre en millions. La quantit de crypto-monnaie gnre par les mineurs malveillants n’a pas encore t value.
Pour vrifier si leur appareil a t cibl ou infect par Perfctl, les utilisateurs doivent se rfrer aux indicateurs de compromission mentionns dans le rapport de jeudi. Ils doivent galement prter attention des pics inhabituels d’utilisation du processeur ou des ralentissements soudains, notamment pendant les priodes d’inactivit. Pour prvenir les infections, il est crucial d’appliquer le correctif pour CVE-2023-33246 et de corriger les erreurs de configuration signales par Aqua Security. Le rapport de jeudi contient d’autres recommandations pour viter les infections.
Scurit des systmes d’exploitation et le mythe de l’immunit de Linux
La question de la scurit entre Linux et Windows est devenue particulirement pertinente la lumire des rcents incidents de scurit, notamment avec l’apparition de logiciels malveillants tels que Perfctl. Cette situation soulve des interrogations sur la perception courante selon laquelle Linux est intrinsquement plus scuris que Windows. Alors que Linux prsente des avantages en matire de scurit grce son architecture open source et sa gestion stricte des permissions, l’impact de telles menaces souligne la vulnrabilit de tous les systmes d’exploitation face des erreurs de configuration et des exploits.
La comparaison de la scurit entre Windows et Linux est un sujet riche et complexe, souvent dbattu parmi les utilisateurs et les professionnels de l’informatique. Chaque systme d’exploitation prsente des avantages et des inconvnients en matire de scurit, influencs par leur conception, leur architecture et leur utilisation dans le monde rel.
Tout d’abord, Linux est souvent considr comme plus scuris que Windows, principalement en raison de sa structure open source. Cela signifie que son code source est accessible tous, permettant une rvision constante par la communaut. Cette transparence favorise la dtection rapide des vulnrabilits et des failles de scurit, qui peuvent tre corriges rapidement. De plus, la gestion des permissions sous Linux est gnralement plus stricte, ce qui rduit le risque d’exploitation par des logiciels malveillants. Les utilisateurs ont galement tendance avoir un meilleur contrle sur les services qui s’excutent sur leur systme, ce qui renforce la scurit.
En revanche, Windows est souvent la cible privilgie des cybercriminels en raison de sa popularit. Avec une part de march importante, en particulier dans le secteur des entreprises, Windows est souvent peru comme une proie lucrative. Bien que Microsoft ait considrablement amlior la scurit de Windows au fil des ans, en intgrant des fonctionnalits comme Windows Defender et des mises jour de scurit rgulires, le systme reste vulnrable de nombreuses menaces. La facilit d’utilisation de Windows et sa compatibilit avec une multitude de logiciels en font une cible attrayante pour les attaques.
Un autre aspect considrer est la gestion des mises jour de scurit. Sous Linux, les mises jour sont souvent plus rapides et peuvent tre centralises via des gestionnaires de paquets. Cela permet aux utilisateurs de maintenir leur systme jour avec moins d’effort. l’inverse, Windows a parfois t critiqu pour sa gestion des mises jour, qui peut tre intrusive et sujette des interruptions. Les utilisateurs peuvent galement ngliger ces mises jour, ce qui expose leur systme des risques de scurit.
Perfctl illustre les dfis auxquels Linux fait face malgr sa rputation de scurit. Bien que la majorit des distributions Linux soient conues pour minimiser les risques, ce logiciel malveillant a su exploiter des vulnrabilits et des configurations dfaillantes pour se propager. L’ampleur de la menace, estime des millions de machines vulnrables, remet en question l’ide que le simple fait d’utiliser Linux suffit garantir une scurit solide. Ce constat rappelle que la scurit dun systme dexploitation dpend fortement de lattention porte la configuration, la mise jour et la gestion des permissions.
Windows, en revanche, a longtemps t le principal objectif des cyberattaques, non seulement en raison de sa part de march, mais aussi en raison de son architecture qui, dans le pass, a prsent des failles significatives. Cependant, Microsoft a renforc ses mesures de scurit ces dernires annes, avec des mises jour frquentes et des outils intgrs tels que Windows Defender. Cela dit, la complexit croissante du systme, allie la gestion parfois chaotique des mises jour, continue de poser des problmes. Lutilisateur moyen, peu sensibilis aux bonnes pratiques de scurit, reste plus vulnrable aux attaques, ce qui fait de Windows une cible de choix.
Une des leons tirer de l’incident de Perfctl est que mme un systme rput pour sa scurit peut tre compromis. Cela souligne l’importance d’une vigilance constante et d’une ducation sur la scurit pour tous les utilisateurs, qu’ils soient sous Linux ou Windows. Les comportements d’utilisation, tels que le tlchargement de logiciels non vrifis ou la ngligence des mises jour de scurit, sont des facteurs critiques qui peuvent mener des infections, rendant ainsi chaque systme potentiellement vulnrable.
La scurit informatique ne devrait pas tre perue comme un simple choix entre deux systmes d’exploitation, mais plutt comme un ensemble de pratiques et de responsabilits partages. Les utilisateurs doivent tre proactifs dans la protection de leurs systmes, qu’ils choisissent Linux ou Windows. Lincident de Perfctl met en lumire la ncessit de sensibiliser davantage les utilisateurs aux risques associs l’utilisation de tout systme d’exploitation et l’importance d’une configuration correcte, d’une mise jour rgulire et d’une surveillance active pour assurer une scurit optimale. En somme, chaque systme a ses forces et ses faiblesses, mais la scurit dpend avant tout des actions des utilisateurs.
Source : Aquasec
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que Linux offre une meilleure scurit que Windows ?
Dans quelle mesure l’architecture open source de Linux contribue-t-elle rellement sa scurit par rapport des systmes propritaires comme Windows ?
Voir aussi :