লিনাক্স সার্ভারগুলিতে ‘Perfctl’ ম্যালওয়্যার: ক্রিপ্টোকারেন্সি মাইনিং ও প্রক্সিজ্যাকিং-এর নতুন হুমকি

ভুলভাবে কনফিগার করা এবং দুর্বল লিনাক্স সার্ভারগুলিকে লক্ষ্য করে একটি নতুন ম্যালওয়্যার প্রচারণা চলছে, যেখানে ‘perfctl’ নামের এক গোপন ম্যালওয়্যার ব্যবহার করা হচ্ছে। এর প্রধান লক্ষ্য হলো ক্রিপ্টোকারেন্সি মাইনিং এবং প্রক্সিজ্যাকিং সফটওয়্যার চালানো, যা সার্ভারগুলোর কার্যক্ষমতাকে নীরবে ক্ষতিগ্রস্ত করে।

“Aqua” সিকিউরিটির গবেষক আসাফ মোরাগ এবং ইদান রেভিভো জানিয়েছেন, “Perfctl খুবই চতুর এবং স্থায়ী। নতুন কোনো ব্যবহারকারী যখন সার্ভারে লগইন করে, এটি সঙ্গে সঙ্গে ‘শব্দপূর্ণ’ কার্যকলাপ বন্ধ করে এবং সার্ভার নিষ্ক্রিয় হওয়া পর্যন্ত অপেক্ষা করে। কার্যকর হওয়ার পর, এটি তার মূল বাইনারি মুছে ফেলে এবং নিরবে ব্যাকগ্রাউন্ডে সার্ভিস হিসেবে চলতে থাকে।”

এই প্রচারণার কিছু অংশ পূর্বে Cado Security কর্তৃক প্রকাশিত হয়েছিল, যেখানে ইন্টারনেট-প্রকাশিত সেলেনিয়াম গ্রিড ইন্সট্যান্সগুলিকে লক্ষ্য করে ক্রিপ্টোকারেন্সি মাইনিং এবং প্রক্সিজ্যাকিং সফটওয়্যার ব্যবহারের বিষয়ে আলোচনা করা হয়েছে।

বিশেষভাবে, ফাইলবিহীন perfctl ম্যালওয়্যারটি Polkit এর একটি নিরাপত্তা ত্রুটি (CVE-2021-4043, PwnKit নামে পরিচিত) কাজে লাগিয়ে রুট সুবিধা পেতে সক্ষম হয়। এটি একটি মাইনিং সফটওয়্যার ড্রপ করে, যাকে ‘perfcc’ বলা হয়। “perfctl” নামটি একটি পরিকল্পিত প্রচেষ্টা, যা সিস্টেমের বৈধ প্রসেসগুলির সাথে মিশে গিয়ে সনাক্তকরণ এড়াতে সহায়তা করে। ‘perf’ হলো লিনাক্স পারফরম্যান্স মনিটরিং টুল এবং ‘ctl’ কমান্ড-লাইন টুলগুলির নিয়ন্ত্রণ নির্দেশ করতে ব্যবহৃত হয়।

এই আক্রমণের প্রাথমিক ধাপটি একটি দুর্বল Apache RocketMQ ইন্সট্যান্স ব্যবহার করে লিনাক্স সার্ভারে প্রবেশ করা। এরপর ম্যালওয়্যারটি ‘httpd’ নামের একটি পে-লোড প্রেরণ করে, যা কার্যকর হওয়ার পর নিজেকে “/tmp” ডিরেক্টরিতে কপি করে এবং মূল বাইনারিটি মুছে ফেলে, যেন এটি ট্র্যাক লুকাতে পারে।

এটাকটি যেভাবে সংঘঠিত হয়:

Perfctl ম্যালওয়্যার প্রতিরক্ষার জন্য বিভিন্ন উন্নত কৌশল ব্যবহার করে। এটি নিজেকে বিভিন্ন নির্দোষ নাম দিয়ে কপি করে এবং একটি রুটকিট ড্রপ করে, যা সিস্টেমের সনাক্তকরণ এড়াতে সহায়ক। কিছু ক্ষেত্রে, এটি দূরবর্তী সার্ভার থেকে প্রক্সিজ্যাকিং সফটওয়্যারও নিয়ে আসে।

এই ম্যালওয়্যার থেকে সুরক্ষিত থাকতে, সিস্টেম এবং সফটওয়্যার সবসময় আপডেট রাখা অত্যন্ত গুরুত্বপূর্ণ। ফাইল এক্সিকিউশন সীমিত করা, অপ্রয়োজনীয় সার্ভিস বন্ধ রাখা, এবং গুরুত্বপূর্ণ ফাইলগুলিতে অ্যাক্সেস নিয়ন্ত্রণের জন্য রোল-বেসড অ্যাক্সেস কন্ট্রোল (RBAC) বাস্তবায়ন করা উচিত। নেটওয়ার্ক সেগমেন্টেশনও ঝুঁকি কমাতে সহায়ক হতে পারে।

Perfctl ম্যালওয়্যার সনাক্ত করতে সিস্টেমের CPU এর অস্বাভাবিক স্পাইক বা ধীর গতির দিকে নজর দেওয়া প্রয়োজন। বিশেষত, সার্ভার নিষ্ক্রিয় থাকাকালীন এই ধরনের সমস্যা দেখা দিলে তা ক্রিপ্টোকারেন্সি মাইনিংয়ের লক্ষণ হতে পারে।

তথ্যসূত্র: The Hacker News, Cado Security, DarkReading, TechTarget, HackRead, Securityaffirs