Perkiler恶意软件转向SMB蛮力传播

Guardicore的研究人员已经做到了发现了一个新的感染载体被Perkiler恶意软件利用，该恶意软件通过SMB密码暴力破解面向互联网的Windows电脑。

Perkiler是一个复杂的Windows恶意软件，具有唯一的唯一福克斯利用套件（ek）删除的组件，并通过网络钓鱼活动传播。

什么是smb？

服务器消息块（SMB），AKA常用Internet文件系统（CIFS）是网络协议，可在Microsoft Windows计算机之间进行文件交换。您会发现它的Windows计算机正在共享打印机，文件，有时遥控器。默认情况下，SMB配置为使用端口139和445。

SMB漏洞历史

SMB有历史由恶意软件使用（与错误历史记录函数，并偶然地暴露在互联网上）。SMB开发恶意软件的最着名示例是Wannacry。这蠕虫爆发蔓延通过一个搜索脆弱的面向公众的SMB端口的操作，然后使用EternalBlue利用连接网络，与双脉冲星链接，建立持久性，并允许安装WannaCry ransomware．

什么是蛮力攻击？

蛮力密码攻击是指不断尝试猜测一个或多个系统的用户名和密码。就像听起来的那样，暴力攻击依赖于武力，而不是狡猾或技巧:这是一种数字手段，相当于把所有东西和厨房水槽都扔到某个东西上。一些攻击会尝试无穷无尽的用户名和密码组合，直到找到一个有效的组合，其他攻击则会在尽可能多的系统上尝试少量的用户名和密码。

蛮力攻击通常是自动化的，因此它们不会花费大量的时间或能量降低攻击者。当然不是单独尝试弄清楚如何访问远程系统。基于端口号或其他特定于系统特定的属性，攻击者选择目标和方法，然后在运动中设置他的蛮力应用程序。然后，他可以继续前进到下一个目标并等待在其中一个系统吞下钩子时得到通知。

这不是一种新的感染方法

研究人员发现通过SMB密码蛮力攻击Windows机器的Perkiler恶意软件的事实是一个惊喜的东西。不是因为SMB蛮力本身。SMB一直被迫强迫，但是你为什么要打扰你的时候：

• 永恒之蓝，允许您拥有每一个未打补丁的SMB服务器，而无需通过暴力破解程序。
• 几百万RDP端口可以蛮力潜在更大的收益。远程桌面正是名称所暗示的，可以选择远程控制计算机系统的选项。对攻击者来说比能够在SMB服务器上丢弃文件更有趣。

这个问题的答案目前仍是个谜。也许他们在提前计划什么时候脆弱的RDP服务器耗尽．

使用受损机器

Perkiler使用大型受损服务器网络来托管其丢弃器和有效载荷。这些服务器似乎受到Microsoft IIS 7.5服务器的影响。这些Windows服务器中的大多数都运行IIS版本7.5和Microsoft FTP，已知具有不同严重性级别的多个漏洞。

rootkit.

一旦机器被感染了佩金尔的新变种，它重新启动以加载隐藏在加密有效载荷内的rootkit。此rootkit的目的是隐藏各种注册表项和值，文件等讽刺地，隐藏的rootkit是由安全的研究人员开发的，以进行各种恶意软件分析任务并保留隐藏恶意软件的研究任务。

被感染的机器

一旦机器重新启动，恶意软件也将被执行。恶意软件执行后，将开始其传播过程:恶意软件将生成IP范围，并开始在端口445上扫描它们。当机器在端口445上响应SMB探测时，它将尝试通过强制使用用户名和密码或尝试建立一个空会话对SMB进行身份验证。

一个有趣的细节是，恶意软件将在受感染的机器上安装一个IPv6接口，以允许恶意软件端口扫描IPv6地址，以及最大化的传播效率(通常不受监控)IPv6子网。

缓解

从理论上讲，通过互联网进行的蛮力密码攻击可以通过甚至适度强的密码击败（6个字符应该足够）。但是，即使是大型游戏赎金软件的威胁RDP暴力破解攻击还不足以让人们使用更强的密码。如果面临5000万美元赎金的前景还不足以激发动机，那么很难看到其他任何有效的动机。

幸运的是，还有其他更简单的方法可以挫败暴力攻击。最好的防御方法是，如果可能的话，将SMB(或RDP，或任何其他服务)完全从Internet上删除，如果不可能的话，将其置于由双因素身份验证保护的VPN之后。