Perkiler Malware brugt af Purple Fox til Brute Force-angreb

Perkiler er navnet tildelt en stamme af malware, der skabte overskrifter ved tilknytning til den berygtede Purple Fox.

Perkiler droppes af Purple Fox og bruges af til brutale kraftangreb på servermeddelelsesblokke (SMB) på systemer, der kører forældede versioner af Microsoft-serverprodukter.

Purple Fox, den malware, der taber Perkiller, skabte overskrifter i de seneste uger ved at tilføje ormlignende funktioner til værktøjssættet og ty til brute force-adgangskodeangreb på SMB af internetforbundne Windows-systemer. Dette er ikke første gang malware forsøger at misbruge SMB til at infiltrere systemer. Den berygtede WannaCry ransomware inkluderede også funktionalitet, der målrettede mod SMB.

Vi dækkede SMB-brute force-angrebene i en anden artikel om Purple Fox og dens genopblussen, drevet af det nyligt tilføjede ormmodul. Forskere er dog stadig en smule forvirrede, hvorfor Perkiler og de dårlige skuespillere bag det besluttede at udføre brute force-angreb i betragtning af eksistensen af bedre ondsindede værktøjer.

Eksempler inkluderer EternalBlue, en udnyttelse udviklet af NSA og senere lækket til offentligheden af Shadow Brokers hacker-konsortium. EternalBlue udnytter en sårbarhed i Microsofts SMB-protokol, kodificeret som CVE-2017-0144.

Perkiler har også en rootkit-komponent. Dens mål er at maskere og tilsløre forskellige ondsindede komponenter, herunder Windows-registreringsdatabasenøgler og filer.

Rootkit vil genstarte det kompromitterede system og derefter udføre malware. Efter kørsel begynder Perkiler at undersøge IP'er gennem port 445. Når et system reagerer på sonden, vil den forsøge at tøve SMB.

Forskere bemærkede endvidere, at Perkiler vil installere en IPv6-grænseflade på det kompromitterede system, så den kan begynde at udføre IPv6-portscanning i tillæg, da dette giver mulighed for lettere spredning over IPv6-subnetværk, der har tendens til at være mindre beskyttet og dårligt overvåget.

Forslagene, som sikkerhedsforskere giver for at undgå lignende brute force-angreb, inkluderer simpelthen at slippe af med SMB, og hvis det viser sig umuligt, i det mindste at køre SMB-tjenesten bag en multi-faktor godkendt VPN.