Laut einem Bericht des Security-Anbieters Aqua Security hat eine raffinierte Malware, die wahrscheinlich schon drei bis vier Jahre im Umlauf ist, tausende Linux-Systeme infiziert. Das Forschungsteam von Aqua
nennt die Malware Perfectl.Diese Malware ist laut dem Team bemerkenswert, weil sie eine Vielzahl von Mechanismen nutze, um sowohl sich selbst als auch seine Aktivitäten zu tarnen. Zudem könne Perfectl sowohl Lösch- als auch Reboots überstehen. Und weil die Malware über 20'000 verschiedene bekannte Sicherheitslücken oder Misskonfigurationen nutze, um Systeme zu infizieren, seien potentiell Millionen von über das Internet erreichbaren Linux-Maschinen gefährdet.
Ausgeklügelte Tarnmassnahmen
Zu den Tarnmechanismen von Perfectl gehört unter anderem, dass das Installationsfile nach der Installation gelöscht wird. Danach läuft die Malware als Hintergrundservice. Einige der Komponenten werden als Rootkits installiert, sodass sie vom Betriebssystem und von Security-Software nicht erkannt werden. Zudem verwendet Perfectl Filenamen, die gleich sind, wie die Filenamen, die man in Linux-Systemen normalerweise findet, kommuniziert via Tor und stoppt auffällige Aktivitäten, sobald sich ein neuer User anmeldet.
Zur Vielzahl der Aktivitäten, zu denen Perfectl fähig ist, gehört das Stehlen von Daten, das Nachladen weiterer Malware sowie Cryptomining.
Um Löschversuche zu überleben, manipuliert Perfectl unter anderem die Umgebung so, dass sie selbst geladen wird, bevor ein legitimer Workload startet. Eine weitere Überlebenstechnik ist es, sich aus dem Memory auf mehrere wechselnde Positionen auf Harddisk zu kopieren.