Perkiler Malware που χρησιμοποιείται από το Purple Fox για Brute Force Attacks
Το Perkiler είναι το όνομα που αποδίδεται σε ένα είδος κακόβουλου λογισμικού που έγινε πρωτοσέλιδο σε συνεργασία με το περίφημο Purple Fox.
Το Perkiler απορρίπτεται από το Purple Fox και χρησιμοποιείται για βίαιες επιθέσεις σε μπλοκ μηνυμάτων διακομιστή (SMB) σε συστήματα που εκτελούν παλιές εκδόσεις προϊόντων διακομιστή της Microsoft.
Το Purple Fox, το κακόβουλο λογισμικό που ρίχνει το Perkiller, έγινε πρωτοσέλιδο τις τελευταίες εβδομάδες, προσθέτοντας δυνατότητες τύπου worm στην εργαλειοθήκη του και καταφεύγοντας σε βίαιες επιθέσεις κωδικού πρόσβασης σε SMB συστημάτων Windows που συνδέονται στο Διαδίκτυο. Δεν είναι η πρώτη φορά που το κακόβουλο λογισμικό προσπαθεί να κάνει κατάχρηση SMB για διείσδυση σε συστήματα. Το περίφημο WannaCry ransomware περιλάμβανε επίσης λειτουργικότητα που στοχεύει το SMB.
Καλύψαμε τις επιθέσεις brute force SMB σε ένα άλλο άρθρο σχετικά με το Purple Fox και την αναβίωσή του, με γνώμονα τη νέα μονάδα worm. Ωστόσο, οι ερευνητές εξακολουθούν να είναι λίγο μπερδεμένοι γιατί ο Perkiler και οι κακοί ηθοποιοί πίσω από αυτό αποφάσισαν να κάνουν βίαιες επιθέσεις, δεδομένης της ύπαρξης καλύτερων κακόβουλων εργαλείων.
Στα παραδείγματα περιλαμβάνεται το EternalBlue, μια εκμετάλλευση που αναπτύχθηκε από την NSA και αργότερα κοινοποιήθηκε στο κοινό από την κοινοπραξία χάκερ Shadow Brokers. Το EternalBlue εκμεταλλεύεται μια ευπάθεια στο πρωτόκολλο SMB της Microsoft, που κωδικοποιείται ως CVE-2017-0144.
Το Perkiler έχει επίσης ένα στοιχείο rootkit. Στόχος του είναι να καλύψει και να κρύψει διάφορα κακόβουλα στοιχεία, συμπεριλαμβανομένων των κλειδιών και των αρχείων μητρώου των Windows.
Το rootkit θα επανεκκινήσει το παραβιασμένο σύστημα και, στη συνέχεια, θα εκτελούσε το κακόβουλο λογισμικό. Κατά την εκτέλεση, ο Perkiler ξεκινά την ανίχνευση IP μέσω της θύρας 445. Μόλις ένα σύστημα ανταποκριθεί στον ανιχνευτή, θα προσπαθήσει να ωθήσει με δύναμη το SMB.
Οι ερευνητές σημείωσαν επίσης ότι η Perkiler θα εγκαταστήσει μια διεπαφή IPv6 στο παραβιασμένο σύστημα, έτσι ώστε να μπορεί να ξεκινήσει να κάνει σάρωση θύρας IPv6 επιπλέον, καθώς αυτό θα επιτρέψει την ευκολότερη εξάπλωση σε υπο-δίκτυα IPv6 τα οποία τείνουν να είναι λιγότερο προστατευμένα και να παρακολουθούνται ανεπαρκώς.
Οι προτάσεις που παρέχουν οι ερευνητές ασφάλειας για την αποφυγή παρόμοιων επιθέσεων ωμής βίας περιλαμβάνουν απλώς την απαλλαγή από το SMB και αν αυτό αποδειχθεί αδύνατο, τουλάχιστον η εκτέλεση της υπηρεσίας SMB πίσω από ένα VPN πολλαπλών παραγόντων με έλεγχο ταυτότητας.