Złośliwe oprogramowanie Perkiler używane przez Purple Fox do ataków Brute Force

Perkiler to nazwa przypisana szczepowi złośliwego oprogramowania, które trafiło na pierwsze strony gazet dzięki skojarzeniu z niesławnym Purple Fox.

Perkiler jest upuszczany przez Purple Fox i jest używany do ataków siłowych na bloki komunikatów serwera (SMB) w systemach z nieaktualnymi wersjami produktów serwerowych Microsoft.

Purple Fox, złośliwe oprogramowanie, które upuszcza Perkillera, trafiło na pierwsze strony gazet w ostatnich tygodniach, dodając funkcje podobne do robaków do swojego zestawu narzędzi i uciekając się do ataków brutalnych haseł na SMB systemów Windows połączonych z Internetem. To nie pierwsza próba złośliwego oprogramowania wykorzystującego SMB w celu infiltracji systemów. Niesławne oprogramowanie ransomware WannaCry zawierało również funkcje skierowane do małych i średnich firm.

Omówiliśmy ataki brute force SMB w innym artykule o Purple Fox i jego odrodzeniu, napędzanym przez nowo dodany moduł robaka. Jednak naukowcy wciąż są nieco zdezorientowani, dlaczego Perkiler i źli aktorzy, którzy za nim stoją, zdecydowali się na ataki siłowe, biorąc pod uwagę istnienie lepszych złośliwych narzędzi.

Przykłady obejmują EternalBlue, exploit opracowany przez NSA, a później ujawniony opinii publicznej przez konsorcjum hakerów Shadow Brokers. EternalBlue wykorzystuje lukę w protokole SMB firmy Microsoft, zakodowaną jako CVE-2017-0144.

Perkiler zawiera również składnik rootkita. Jego celem jest maskowanie i ukrywanie różnych złośliwych komponentów, w tym kluczy i plików rejestru systemu Windows.

Rootkit zrestartowałby zaatakowany system, a następnie uruchomił złośliwe oprogramowanie. Po uruchomieniu Perkiler rozpoczyna sondowanie adresów IP przez port 445. Gdy system odpowie na sondę, spróbuje brutalnie wymusić SMB.

Naukowcy zauważyli ponadto, że Perkiler zainstaluje interfejs IPv6 w zaatakowanym systemie, aby mógł dodatkowo rozpocząć skanowanie portów IPv6, ponieważ pozwoli to na łatwiejsze rozprzestrzenianie się w podsieciach IPv6, które są zwykle mniej chronione i słabo monitorowane.

Sugestie, które badacze bezpieczeństwa proponują w celu uniknięcia podobnych ataków siłowych, obejmują po prostu pozbycie się SMB, a jeśli okaże się to niemożliwe, przynajmniej uruchomienie usługi SMB za wieloczynnikową uwierzytelnianą siecią VPN.

March 30, 2021
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.