Perkiler skadelig programvare brukt av Purple Fox for Brute Force Attacks

Perkiler er navnet tildelt en stamme av skadelig programvare som fikk overskrifter ved tilknytning til den beryktede Purple Fox.

Perkiler blir droppet av Purple Fox og brukes av for brute force-angrep på servermeldingsblokker (SMB) på systemer som kjører utdaterte versjoner av Microsoft-serverprodukter.

Purple Fox, skadelig programvare som dropper Perkiller, har skapt overskrifter de siste ukene ved å legge til ormlignende funksjoner i verktøysettet og ty til brute force-passordangrep på SMB av Internett-tilkoblede Windows-systemer. Dette er ikke første gang malware prøver å misbruke SMB for å infiltrere systemer. Den beryktede WannaCry ransomware inkluderte også funksjonalitet som målrettet SMB.

Vi dekket SMB-brute force-angrepene i en annen artikkel om Purple Fox og dens gjenoppblomstring, drevet av den nylig tilførte ormmodulen. Forskerne er imidlertid fortsatt litt forvirrede hvorfor Perkiler og de dårlige skuespillerne bak den bestemte seg for å gjøre brute force-angrep, gitt eksistensen av bedre ondsinnede verktøy.

Eksempler inkluderer EternalBlue, en utnyttelse utviklet av NSA og senere lekket ut til publikum av Shadow Brokers hacker-konsortium. EternalBlue utnytter et sårbarhet i Microsofts SMB-protokoll, kodifisert som CVE-2017-0144.

Perkiler har også en rootkit-komponent. Målet er å maskere og tilsløre forskjellige ondsinnede komponenter, inkludert Windows-registernøkler og filer.

Rootsettet vil starte det kompromitterte systemet på nytt og deretter kjøre skadelig programvare. Etter kjøring begynner Perkiler å undersøke IP-er gjennom port 445. Når et system reagerer på sonden, vil den forsøke å tøffe SMB.

Forskere bemerket videre at Perkiler vil installere et IPv6-grensesnitt på det kompromitterte systemet, slik at det kan begynne å gjøre IPv6-portskanning i tillegg, da dette vil gjøre det lettere å spre seg over IPv6-subnettverk som har en tendens til å være mindre beskyttet og dårlig overvåket.

Forslagene som sikkerhetsforskere gir for å unngå lignende brute force-angrep, inkluderer bare å kvitte seg med SMB, og hvis det viser seg umulig, i det minste å kjøre SMB-tjenesten bak en multifaktorautentisert VPN.