Perkiler malware utilizzato da Purple Fox per attacchi di forza bruta
Perkiler è il nome assegnato a un ceppo di malware che ha fatto notizia per associazione con la famigerata Purple Fox.
Perkiler viene rilasciato da Purple Fox e viene utilizzato per attacchi di forza bruta sui blocchi di messaggi del server (SMB) su sistemi che eseguono versioni obsolete dei prodotti server Microsoft.
Purple Fox, il malware che rilascia Perkiller, ha fatto notizia nelle ultime settimane, aggiungendo funzionalità simili a worm al suo toolkit e ricorrendo ad attacchi di forza bruta con password su SMB di sistemi Windows connessi a Internet. Non è la prima volta che il malware tenta di abusare di SMB per infiltrarsi nei sistemi. Il famigerato ransomware WannaCry includeva anche funzionalità mirate alle PMI.
Abbiamo trattato gli attacchi di forza bruta SMB in un altro articolo su Purple Fox e la sua rinascita, guidato dal modulo worm appena aggiunto. Tuttavia, i ricercatori sono ancora un po 'confusi sul motivo per cui Perkiler e i cattivi attori dietro di esso abbiano deciso di eseguire attacchi di forza bruta, data l'esistenza di strumenti dannosi migliori.
Gli esempi includono EternalBlue, un exploit sviluppato dalla NSA e successivamente divulgato al pubblico dal consorzio di hacker Shadow Brokers. EternalBlue sfrutta una vulnerabilità nel protocollo SMB di Microsoft, codificato come CVE-2017-0144.
Perkiler ha anche un componente rootkit. Il suo obiettivo è mascherare e oscurare vari componenti dannosi, inclusi file e chiavi di registro di Windows.
Il rootkit riavvia il sistema compromesso, quindi esegue il malware. All'esecuzione, Perkiler inizia a sondare gli IP tramite la porta 445. Una volta che un sistema risponde al probe, tenterà di forzare l'SMB.
I ricercatori hanno inoltre notato che Perkiler installerà un'interfaccia IPv6 sul sistema compromesso, in modo che possa iniziare a eseguire anche la scansione delle porte IPv6, poiché ciò consentirà una più facile diffusione su sottoreti IPv6 che tendono ad essere meno protette e scarsamente monitorate.
I suggerimenti che i ricercatori di sicurezza forniscono per evitare simili attacchi di forza bruta includono semplicemente sbarazzarsi di SMB e, se ciò si rivela impossibile, per lo meno eseguire il servizio SMB dietro una VPN autenticata a più fattori.