紫狐公司(Purple Fox)使用Perkiler惡意軟件進行暴力攻擊
Perkiler是分配給一系列惡意軟件的名稱,這些惡意軟件通過與臭名昭著的Purple Fox關聯而成為頭條新聞。
Perkiler被Purple Fox丟棄,用於運行過時版本的Microsoft服務器產品的系統上的服務器消息塊(SMB)的暴力攻擊。
紫狐(Purple Fox)是使Perkiller掉落的惡意軟件,在最近幾周成為頭條新聞,方法是在其工具包中添加蠕蟲般的功能,並對連接Internet的Windows系統的SMB進行暴力破解。這不是惡意軟件第一次嘗試濫用SMB滲透系統。臭名昭著的WannaCry勒索軟件還包括針對SMB的功能。
在新增加的蠕蟲模塊的驅動下,我們在有關Fox Fox及其複興的另一篇文章中介紹了SMB暴力攻擊。然而,由於存在更好的惡意工具,研究人員仍然感到困惑,為什麼Perkiler及其背後的不良行為者決定進行暴力攻擊。
例子包括EternalBlue,這是由NSA開發的一種利用程序,後來被Shadow Brokers黑客協會向公眾洩露。 EternalBlue利用Microsoft的SMB協議中的一個漏洞,其編碼為CVE-2017-0144。
Perkiler也有一個rootkit組件。其目標是掩蓋和掩蓋各種惡意組件,包括Windows註冊表項和文件。
Rootkit將重新啟動受感染的系統,然後執行惡意軟件。運行後,Perkiler開始通過端口445探測IP。一旦系統對探測作出響應,它將嘗試對SMB進行暴力破解。
研究人員進一步指出,Perkiler將在受感染的系統上安裝IPv6接口,以便它可以另外開始進行IPv6端口掃描,因為這將使在IPv6子網上的分佈更加容易,而這些子網往往受到較少的保護和監視效果較差。
安全研究人員為避免類似的暴力攻擊提供的建議包括簡單地擺脫SMB,如果證明不可能,則至少應在經過多因素身份驗證的VPN之後運行SMB服務。