You are currently viewing Malware ‘Perfctl’ Menyusup ke Ribuan Server Linux: Apa yang Terjadi?

Malware ‘Perfctl’ Menyusup ke Ribuan Server Linux: Apa yang Terjadi?

Malware bernama Perfctl telah menjadi ancaman serius bagi ribuan server yang menjalankan sistem operasi Linux. Perfctl secara diam-diam mengeksploitasi kerentanan (celah keamanan) dan kesalahan konfigurasi di jutaan server Linux, dan kemungkinan sudah menginfeksi ribuan dari mereka. Para peneliti keamanan dari Aqua Security menemukan bahwa malware ini bertujuan untuk mendapatkan akses secara terus-menerus ke dalam sistem yang terinfeksi dan membajak sumber daya untuk penambangan kripto secara ilegal.

Bagaimana Perfctl Bekerja?

Perfctl memanfaatkan lebih dari 20.000 jenis kesalahan konfigurasi dan kerentanan di server Linux yang rentan. Malware ini telah beroperasi selama lebih dari tiga tahun, dan cukup sulit dideteksi karena menggunakan rootkit (sejenis perangkat lunak berbahaya) untuk menyembunyikan dirinya dari pemantauan.

Apa Itu Rootkit dan Mengapa Berbahaya?

Rootkit adalah perangkat lunak yang memungkinkan peretas menyusup ke dalam sistem dan menyembunyikan kehadirannya. Dalam kasus Perfctl, rootkit ini berjalan di latar belakang sistem, hanya aktif ketika mesin tidak sedang digunakan. Dengan cara ini, pengguna mungkin tidak menyadari bahwa sistem mereka telah terinfeksi.

Perfctl juga menggunakan protokol komunikasi tersembunyi seperti soket Unix dan jaringan Tor untuk berkomunikasi dengan pelaku serangan. Tor digunakan untuk menjaga komunikasi antara server yang terinfeksi dan penyerang tetap anonim.

Bagaimana Serangan Dimulai?

Perfctl memulai serangan dengan memanfaatkan celah keamanan atau kesalahan konfigurasi pada server. Setelah berhasil masuk, malware ini mendownload muatan berbahaya dari server yang dikendalikan dari jarak jauh dan menginstalnya di server korban. Malware tersebut kemudian menyembunyikan aktivitasnya dengan:

  1. Mengganti proses asli di sistem, lalu menghapus jejak file biner yang digunakan sebelumnya.
  2. Menyebarkan dirinya ke berbagai direktori di sistem untuk memastikan keberlanjutan aktivitasnya.
  3. Menurunkan cryptominer (perangkat lunak untuk menambang mata uang kripto secara ilegal) dan rootkit yang berfungsi untuk memperkuat kontrol atas server yang terinfeksi.

Mengapa Malware Ini Sulit Dideteksi?

Perfctl dirancang agar sulit dilacak. Semua file binari yang digunakan oleh malware ini dienkripsi dan dilucuti dari informasi yang bisa digunakan untuk mengidentifikasi asal-usulnya. Selain itu, malware ini memantau aktivitas pengguna. Jika mendeteksi bahwa pengguna sedang menggunakan sistem, Perfctl akan menghentikan kegiatannya sementara agar tidak terdeteksi. Ia juga mengubah pengaturan server agar tetap berjalan normal saat malware beroperasi.

Langkah Lanjut dari Peneliti Keamanan

Aqua Security telah menemukan setidaknya tiga server yang digunakan untuk menyebarkan malware ini dan beberapa situs web yang juga diduga disusupi untuk mendukung serangan. Para peneliti menemukan daftar besar file dan konfigurasi yang dicari oleh Perfctl untuk menemukan kelemahan di server. Beberapa di antaranya termasuk file XML yang digunakan untuk menjalankan serangan yang lebih dalam.

Bagaimana Agar Server Aman dari Perfctl?

Untuk melindungi server dari malware seperti Perfctl, penting bagi administrator sistem untuk:

  • Memperbarui server secara rutin dengan patch keamanan terbaru.
  • Memperbaiki kesalahan konfigurasi dan memastikan pengaturan keamanan sudah dioptimalkan.
  • Menggunakan alat deteksi rootkit dan firewall untuk mencegah akses yang tidak sah.

Serangan malware seperti Perfctl menunjukkan pentingnya keamanan di dunia digital, terutama bagi server yang mengelola informasi sensitif dan berperan penting dalam operasi bisnis.