Perkiler Malware Används av Purple Fox för Brute Force Attacks
Perkiler är namnet som tilldelats en stam av skadlig kod som gjorde rubriker genom associering med den ökända Purple Fox.
Perkiler tappas av Purple Fox och används av för brute force attacker på servermeddelandeblock (SMB) på system som kör föråldrade versioner av Microsofts serverprodukter.
Purple Fox, skadlig programvara som tappar Perkiller, gjorde rubriker under de senaste veckorna genom att lägga till maskliknande funktioner i verktygslådan och tillgripa brute force-lösenordsattacker på SMB i Internetanslutna Windows-system. Det här är inte första gången skadlig programvara försöker missbruka SMB för att infiltrera system. Den ökända WannaCry-ransomware inkluderade också funktionalitet som riktade sig mot SMB.
Vi redogjorde för SMB-brute force-attackerna i en annan artikel om Purple Fox och dess återuppkomst, driven av den nyligen tillagda maskmodulen. Men forskare är fortfarande lite förvirrade över varför Perkiler och de dåliga skådespelarna bakom den bestämde sig för att göra brutala kraftattacker, med tanke på att det finns bättre skadliga verktyg.
Exempel är EternalBlue, ett utnyttjande som utvecklats av NSA och senare läckt ut till allmänheten av Shadow Brokers-hackarkonsortiet. EternalBlue utnyttjar en sårbarhet i Microsofts SMB-protokoll, kodad som CVE-2017-0144.
Perkiler har också en rootkit-komponent. Dess mål är att maskera och dölja olika skadliga komponenter, inklusive Windows-registernycklar och filer.
Rootsatsen skulle starta om det komprometterade systemet och sedan köra skadlig programvara. När den körs, börjar Perkiler att undersöka IP-adresser via port 445. När ett system svarar på sonden kommer det att försöka brute force SMB.
Forskare noterade vidare att Perkiler kommer att installera ett IPv6-gränssnitt på det komprometterade systemet, så att det kan börja göra IPv6-portavsökning dessutom, eftersom detta möjliggör en enklare spridning över IPv6-undernätverk som tenderar att vara mindre skyddade och dåligt övervakade.
Förslagen som säkerhetsforskare tillhandahåller för att undvika liknande brute force-attacker inkluderar helt enkelt att bli av med SMB och om det visar sig omöjligt, i alla fall att köra SMB-tjänsten bakom en multi-factor autentiserad VPN.