Malware Perkiler Usado pelo Purple Fox para Ataques de Força Bruta
Perkiler é o nome atribuído a um tipo de malware que ganhou as manchetes por associação com o infame Purple Fox.
O Perkiler é instalado pelo Purple Fox e usado para ataques de força bruta em blocos de mensagens de servidor (SMB) nos sistemas que executam versões desatualizadas de produtos do servidor Microsoft.
Purple Fox, o malware que instala o Perkiller, ganhou as manchetes nas últimas semanas, adicionando recursos semelhantes aos de um worm ao seu kit de ferramentas e recorrendo a ataques de senha de força bruta em SMB dos sistemas Windows conectados à Internet. Esta não é a primeira vez que o malware tenta abusar do SMB para se infiltrar nos sistemas. O infame WannaCry Ransomware também incluía funcionalidades voltadas para SMB.
Cobrimos os ataques de força bruta SMB em outro artigo sobre Purple Fox e o seu ressurgimento, impulsionado pelo módulo worm recém-adicionado. No entanto, os pesquisadores ainda estão um pouco confusos por que Perkiler e os malfeitores por trás dele decidiram fazer ataques de força bruta, dada a existência de ferramentas mais maliciosas e melhores.
Os exemplos incluem o EternalBlue, um exploit desenvolvido pela NSA e mais tarde divulgado ao público pelo consórcio de hackers Shadow Brokers. O EternalBlue explora uma vulnerabilidade no protocolo SMB da Microsoft, codificado como CVE-2017-0144.
O Perkiler também possui um componente de rootkit. Seu objetivo é mascarar e ocultar vários componentes maliciosos, incluindo arquivos e chaves de registro do Windows.
O rootkit reinicializa o sistema comprometido e, em seguida, executa o malware. Ao ser executado, o Perkiler começa a sondar os IPs por meio da porta 445. Depois que um sistema responde à sondagem, ele tenta usar a força bruta do SMB.
Os pesquisadores observaram ainda que o Perkiler instala uma interface IPv6 no sistema comprometido, para que possa começar a fazer a digitalização da porta IPv6, já que isso permitirá uma disseminação mais fácil em sub-redes IPv6 que tendem a ser menos protegidas e mal monitoradas.
As sugestões que os pesquisadores de segurança fornecem para evitar ataques de força bruta semelhantes incluem simplesmente livrar-se do SMB e, se isso for impossível, pelo menos executar o serviço SMB por trás de uma VPN autenticada de múltiplos fatores.