Perkiler Malware, amelyet Purple Fox használt a Brute Force Attackeknél

A Perkiler annak a rosszindulatú programnak a törzséhez rendelt név, amely a hírhedt Purple Foxdal társulva került a címsorba.

Purple Fox eldobta a Perkilert, és a Microsoft szervertermékeinek elavult verzióit futtató rendszereken a szerverüzenet-blokkok (SMB) elleni erőszakos támadásokhoz használják.

A Purple Fox, a Perkillert elejtő kártevő az elmúlt hetekben címsorokba lépett, féregszerű képességekkel egészítette ki eszköztárát, és durva jelszóval támadta meg az internethez csatlakozó Windows rendszerek SMB-jeit. Nem ez az első alkalom, hogy a rosszindulatú programok megpróbálják visszaélni az SMB-t a rendszerek behatolásához. A hírhedt WannaCry ransomware olyan funkciókat is tartalmazott, amelyek az SMB-t célozták meg.

Az SMB durva erőszakos támadásait egy újabb cikkben ismertettük a Purple Foxról és annak újjáéledéséről, amelyet az újonnan hozzáadott féregmodul hajtott. A kutatók azonban még mindig kissé zavartak, miért döntöttek Perkiler és a mögötte álló rossz szereplők nyers erőszakos támadások mellett, tekintettel a jobb rosszindulatú eszközök létére.

Ilyen például az EternalBlue, az NSA által kifejlesztett kihasználás, amelyet később a Shadow Brokers hacker konzorcium szivárogtatott ki a nyilvánosság elé. Az EternalBlue kihasznál egy biztonsági rést a Microsoft SMB protokolljában, amelyet CVE-2017-0144 kódként kódoltak.

A Perkiler rendelkezik rootkit komponenssel is. Célja a különféle rosszindulatú összetevők, köztük a Windows rendszerleíró kulcsok és fájlok elfedése és eltakarása.

A rootkit újraindítja a sérült rendszert, majd végrehajtja a rosszindulatú programot. Futtatásakor a Perkiler megkezdi az IP-k vizsgálatát a 445-ös porton keresztül. Amint a rendszer reagál a próbára, megpróbálja megkímélni az SMB-t.

A kutatók azt is megjegyezték, hogy a Perkiler telepít egy IPv6 interfészt a veszélyeztetett rendszerre, hogy emellett elkezdhesse az IPv6 port szkennelését is, mivel ez lehetővé teszi a könnyebb terjesztést az IPv6 alhálózatokon, amelyek általában kevésbé védettek és rosszul figyelhetők meg.

A biztonsági kutatók által a hasonló durva erőszakos támadások elkerülése érdekében tett javaslatok magukban foglalják az SMB-től való egyszerű megszabadulást, és ha ez lehetetlennek bizonyul, akkor legalább az SMB-szolgáltatás futtatását egy többtényezős hitelesített VPN mögött.