ブルートフォース攻撃のためにパープルフォックスが使用するパーキラーマルウェア
Perkilerは、悪名高いPurpleFoxとの関連で話題となったマルウェアの系統に割り当てられた名前です。
PerkilerはPurpleFoxによってドロップされ、古いバージョンのMicrosoftサーバー製品を実行しているシステム上のサーバーメッセージブロック(SMB)に対するブルートフォース攻撃に使用されます。
PerkillerをドロップするマルウェアであるPurpleFoxは、ツールキットにワームのような機能を追加し、インターネットに接続されたWindowsシステムのSMBに対するブルートフォースパスワード攻撃に頼ることで、ここ数週間注目を集めました。マルウェアがSMBを悪用してシステムに侵入しようとするのはこれが初めてではありません。悪名高いWannaCryランサムウェアには、SMBを標的とした機能も含まれていました。
新しく追加されたワームモジュールによって駆動されるPurpleFoxとその復活に関する別の記事で、SMBブルートフォース攻撃について説明しました。しかし、より優れた悪意のあるツールが存在することを考えると、Perkilerとその背後にいる悪意のある人物がブルートフォース攻撃を行うことにした理由について、研究者はまだ少し混乱しています。
例としては、NSAによって開発され、後にShadowBrokersハッカーコンソーシアムによって公開されたエクスプロイトであるEternalBlueがあります。 EternalBlueは、CVE-2017-0144として体系化されたMicrosoftのSMBプロトコルの脆弱性を悪用します。
Perkilerにはルートキットコンポーネントもあります。その目標は、Windowsレジストリキーやファイルなど、さまざまな悪意のあるコンポーネントをマスクして隠すことです。
ルートキットは、侵害されたシステムを再起動してから、マルウェアを実行します。実行すると、Perkilerはポート445を介してIPのプローブを開始します。システムがプローブに応答すると、SMBをブルートフォース攻撃しようとします。
研究者はさらに、Perkilerが侵害されたシステムにIPv6インターフェースをインストールし、さらにIPv6ポートスキャンを開始できるようにすることを指摘しました。これにより、保護が不十分で監視が不十分になる傾向があるIPv6サブネットワークへの拡散が容易になります。
セキュリティ研究者が同様のブルートフォース攻撃を回避するために提供する提案には、単にSMBを取り除くことと、それが不可能であることが判明した場合は、少なくとも多要素認証VPNの背後でSMBサービスを実行することが含まれます。