Perkiler-Malware, die von Purple Fox für Brute-Force-Angriffe verwendet wird
Perkiler ist der Name einer Malware, die in Verbindung mit dem berüchtigten Purple Fox Schlagzeilen machte.
Perkiler wird von Purple Fox gelöscht und von Brute-Force-Angriffen auf Server Message Blocks (SMB) auf Systemen verwendet, auf denen veraltete Versionen von Microsoft-Serverprodukten ausgeführt werden.
Purple Fox, die Malware, die Perkiller fallen lässt, machte in den letzten Wochen Schlagzeilen, indem sie ihrem Toolkit wurmartige Funktionen hinzufügte und auf Brute-Force-Kennwortangriffe auf SMB von Windows-Systemen mit Internetverbindung zurückgriff. Dies ist nicht das erste Mal, dass Malware versucht, SMB zu missbrauchen, um Systeme zu infiltrieren. Die berüchtigte WannaCry-Ransomware enthielt auch Funktionen für KMU.
Wir haben die SMB-Brute-Force-Angriffe in einem anderen Artikel über Purple Fox und sein Wiederaufleben behandelt, der vom neu hinzugefügten Wurmmodul angetrieben wird. Die Forscher sind jedoch immer noch ein wenig verwirrt, warum Perkiler und die schlechten Schauspieler dahinter beschlossen haben, Brute-Force-Angriffe durchzuführen, da es bessere bösartige Tools gibt.
Beispiele hierfür sind EternalBlue, ein Exploit, der von der NSA entwickelt und später vom Hacker-Konsortium Shadow Brokers der Öffentlichkeit zugänglich gemacht wurde. EternalBlue nutzt eine Sicherheitsanfälligkeit im SMB-Protokoll von Microsoft aus, die als CVE-2017-0144 kodifiziert ist.
Perkiler hat auch eine Rootkit-Komponente. Ziel ist es, verschiedene schädliche Komponenten, einschließlich Windows-Registrierungsschlüssel und -Dateien, zu maskieren und zu verdecken.
Das Rootkit würde das gefährdete System neu starten und dann die Malware ausführen. Beim Ausführen beginnt Perkiler, IPs über Port 445 zu prüfen. Sobald ein System auf die Prüfung reagiert, versucht es, das SMB brutal zu erzwingen.
Die Forscher stellten ferner fest, dass Perkiler eine IPv6-Schnittstelle auf dem gefährdeten System installieren wird, damit es zusätzlich mit dem Scannen von IPv6-Ports beginnen kann, da dies eine einfachere Verbreitung über IPv6-Subnetzwerke ermöglicht, die tendenziell weniger geschützt und schlecht überwacht werden.
Zu den Vorschlägen, die Sicherheitsforscher zur Vermeidung ähnlicher Brute-Force-Angriffe machen, gehört die einfache Beseitigung von SMB und, falls sich dies als unmöglich herausstellt, zumindest die Ausführung des SMB-Dienstes hinter einem mit mehreren Faktoren authentifizierten VPN.