Perkiler-Malware, die von Purple Fox für Brute-Force-Angriffe verwendet wird

Perkiler ist der Name einer Malware, die in Verbindung mit dem berüchtigten Purple Fox Schlagzeilen machte.

Perkiler wird von Purple Fox gelöscht und von Brute-Force-Angriffen auf Server Message Blocks (SMB) auf Systemen verwendet, auf denen veraltete Versionen von Microsoft-Serverprodukten ausgeführt werden.

Purple Fox, die Malware, die Perkiller fallen lässt, machte in den letzten Wochen Schlagzeilen, indem sie ihrem Toolkit wurmartige Funktionen hinzufügte und auf Brute-Force-Kennwortangriffe auf SMB von Windows-Systemen mit Internetverbindung zurückgriff. Dies ist nicht das erste Mal, dass Malware versucht, SMB zu missbrauchen, um Systeme zu infiltrieren. Die berüchtigte WannaCry-Ransomware enthielt auch Funktionen für KMU.

Wir haben die SMB-Brute-Force-Angriffe in einem anderen Artikel über Purple Fox und sein Wiederaufleben behandelt, der vom neu hinzugefügten Wurmmodul angetrieben wird. Die Forscher sind jedoch immer noch ein wenig verwirrt, warum Perkiler und die schlechten Schauspieler dahinter beschlossen haben, Brute-Force-Angriffe durchzuführen, da es bessere bösartige Tools gibt.

Beispiele hierfür sind EternalBlue, ein Exploit, der von der NSA entwickelt und später vom Hacker-Konsortium Shadow Brokers der Öffentlichkeit zugänglich gemacht wurde. EternalBlue nutzt eine Sicherheitsanfälligkeit im SMB-Protokoll von Microsoft aus, die als CVE-2017-0144 kodifiziert ist.

Perkiler hat auch eine Rootkit-Komponente. Ziel ist es, verschiedene schädliche Komponenten, einschließlich Windows-Registrierungsschlüssel und -Dateien, zu maskieren und zu verdecken.

Das Rootkit würde das gefährdete System neu starten und dann die Malware ausführen. Beim Ausführen beginnt Perkiler, IPs über Port 445 zu prüfen. Sobald ein System auf die Prüfung reagiert, versucht es, das SMB brutal zu erzwingen.

Die Forscher stellten ferner fest, dass Perkiler eine IPv6-Schnittstelle auf dem gefährdeten System installieren wird, damit es zusätzlich mit dem Scannen von IPv6-Ports beginnen kann, da dies eine einfachere Verbreitung über IPv6-Subnetzwerke ermöglicht, die tendenziell weniger geschützt und schlecht überwacht werden.

Zu den Vorschlägen, die Sicherheitsforscher zur Vermeidung ähnlicher Brute-Force-Angriffe machen, gehört die einfache Beseitigung von SMB und, falls sich dies als unmöglich herausstellt, zumindest die Ausführung des SMB-Dienstes hinter einem mit mehreren Faktoren authentifizierten VPN.

March 30, 2021
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.