Вредоносное ПО Perkiler, используемое Purple Fox для атак методом грубой силы

Perkiler - это название, присвоенное штамму вредоносного ПО, которое попало в заголовки газет в связи с печально известным Purple Fox.

Perkiler удаляется Purple Fox и используется для атак грубой силы на блоки сообщений сервера (SMB) в системах с устаревшими версиями серверных продуктов Microsoft.

В последние недели Purple Fox, вредоносное ПО, которое выпускает Perkiller, попало в заголовки газет, добавив в свой инструментарий возможности червя и прибегнув к атакам методом перебора паролей на SMB подключенных к Интернету систем Windows. Это не первая попытка вредоносного ПО использовать SMB для проникновения в системы. Печально известная программа-вымогатель WannaCry также включала функции, нацеленные на SMB.

Мы рассмотрели атаки методом грубой силы SMB в другой статье о Purple Fox и его возрождении, вызванном недавно добавленным модулем червя. Тем не менее, исследователи до сих пор не понимают, почему Perkiler и стоящие за ним злоумышленники решили проводить атаки методом грубой силы, учитывая существование более совершенных вредоносных инструментов.

Примеры включают EternalBlue, эксплойт, разработанный АНБ, а затем просочившийся к общественности хакерским консорциумом Shadow Brokers. EternalBlue использует уязвимость в протоколе Microsoft SMB, кодированную как CVE-2017-0144.

Perkiler также имеет компонент руткита. Его цель - замаскировать и скрыть различные вредоносные компоненты, включая ключи и файлы реестра Windows.

Руткит перезагружает скомпрометированную систему, а затем запускает вредоносное ПО. После запуска Perkiler начинает зондирование IP-адресов через порт 445. Как только система ответит на зонд, она предпримет попытку грубой силы SMB.

Исследователи также отметили, что Perkiler установит интерфейс IPv6 в скомпрометированной системе, чтобы он мог дополнительно начать сканирование портов IPv6, поскольку это позволит упростить распространение по подсетям IPv6, которые, как правило, менее защищены и плохо отслеживаются.

Предложения, которые предлагают исследователи безопасности для предотвращения подобных атак грубой силы, включают простое избавление от SMB и, если это окажется невозможным, по крайней мере запуск службы SMB за многофакторной аутентификацией VPN.

March 30, 2021
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.