Вредоносное ПО Perkiler, используемое Purple Fox для атак методом грубой силы
Perkiler - это название, присвоенное штамму вредоносного ПО, которое попало в заголовки газет в связи с печально известным Purple Fox.
Perkiler удаляется Purple Fox и используется для атак грубой силы на блоки сообщений сервера (SMB) в системах с устаревшими версиями серверных продуктов Microsoft.
В последние недели Purple Fox, вредоносное ПО, которое выпускает Perkiller, попало в заголовки газет, добавив в свой инструментарий возможности червя и прибегнув к атакам методом перебора паролей на SMB подключенных к Интернету систем Windows. Это не первая попытка вредоносного ПО использовать SMB для проникновения в системы. Печально известная программа-вымогатель WannaCry также включала функции, нацеленные на SMB.
Мы рассмотрели атаки методом грубой силы SMB в другой статье о Purple Fox и его возрождении, вызванном недавно добавленным модулем червя. Тем не менее, исследователи до сих пор не понимают, почему Perkiler и стоящие за ним злоумышленники решили проводить атаки методом грубой силы, учитывая существование более совершенных вредоносных инструментов.
Примеры включают EternalBlue, эксплойт, разработанный АНБ, а затем просочившийся к общественности хакерским консорциумом Shadow Brokers. EternalBlue использует уязвимость в протоколе Microsoft SMB, кодированную как CVE-2017-0144.
Perkiler также имеет компонент руткита. Его цель - замаскировать и скрыть различные вредоносные компоненты, включая ключи и файлы реестра Windows.
Руткит перезагружает скомпрометированную систему, а затем запускает вредоносное ПО. После запуска Perkiler начинает зондирование IP-адресов через порт 445. Как только система ответит на зонд, она предпримет попытку грубой силы SMB.
Исследователи также отметили, что Perkiler установит интерфейс IPv6 в скомпрометированной системе, чтобы он мог дополнительно начать сканирование портов IPv6, поскольку это позволит упростить распространение по подсетям IPv6, которые, как правило, менее защищены и плохо отслеживаются.
Предложения, которые предлагают исследователи безопасности для предотвращения подобных атак грубой силы, включают простое избавление от SMB и, если это окажется невозможным, по крайней мере запуск службы SMB за многофакторной аутентификацией VPN.