《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 兩年感染量翻了6倍,Purple Fox通過(guò)蠕蟲(chóng)攻擊Windows服務(wù)器

兩年感染量翻了6倍,Purple Fox通過(guò)蠕蟲(chóng)攻擊Windows服務(wù)器

2021-03-25
來(lái)源: FreeBuf
關(guān)鍵詞: PurpleFox 蠕蟲(chóng)

  2018年,Purple Fox(紫狐)在野感染超過(guò) 30000 臺(tái)計(jì)算機(jī)后被首次發(fā)現(xiàn)。Purple Fox通過(guò)漏洞利用和釣魚(yú)郵件進(jìn)行傳播分發(fā),自身還充當(dāng)其他惡意軟件的 Downloader。

  3月23日,據(jù)外媒報(bào)道,安全研究人員發(fā)現(xiàn)Purple Fox增加了蠕蟲(chóng)傳播模塊,通過(guò)掃描、攻擊聯(lián)網(wǎng)的 Windows 系統(tǒng)進(jìn)行感染傳播。與此同時(shí),更新的Purple Fox還帶有Rootkit和后門(mén)功能。Purple Fox針對(duì)Windows系統(tǒng)進(jìn)行漏洞利用套件的開(kāi)發(fā),在利用內(nèi)存破壞和權(quán)限提升漏洞后,通過(guò)Web瀏覽器感染W(wǎng)indows用戶(hù)。

  Guardicore Labs的安全研究員Amit Serper和Ophir Harpaz表示:從 2020 年 5 月開(kāi)始,Purple Fox的攻擊快速攀升。到目前為止,累計(jì)超過(guò)了90000 次,感染量增長(zhǎng)了600%。

 微信圖片_20210325214255.jpg

  Windows 設(shè)備面臨極大風(fēng)險(xiǎn)

  Guardicore 利用全球遙測(cè)網(wǎng)絡(luò)對(duì)威脅進(jìn)行監(jiān)控,Purple Fox從去年年底開(kāi)始表現(xiàn)出端口掃描和漏洞利用嘗試的行為。掃描發(fā)現(xiàn)聯(lián)網(wǎng)的Windows設(shè)備后,Purple Fox利用蠕蟲(chóng)模塊試圖通過(guò)SMB爆破入侵系統(tǒng)。

  根據(jù) Guardicore Labs 的分析報(bào)告,Purple Fox 已經(jīng)組建了近 2000 臺(tái)規(guī)模的僵尸網(wǎng)絡(luò)。

  實(shí)現(xiàn)主機(jī)中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服務(wù)器以及運(yùn)行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服務(wù)的服務(wù)器,這些服務(wù)都存在不同程度的漏洞。

  微信圖片_20210325214425.jpg

  Purple Fox的蠕蟲(chóng)模塊會(huì)攻擊公網(wǎng)暴露的SMB服務(wù)來(lái)進(jìn)行入侵,不僅如此,Purple Fox還會(huì)利用網(wǎng)絡(luò)釣魚(yú)和Web瀏覽器漏洞來(lái)進(jìn)行投遞和傳播。

  研究發(fā)現(xiàn),失陷主機(jī)同時(shí)會(huì)被作為部署惡意Payload的服務(wù)器進(jìn)行惡意軟件的傳播。

  Rootkit模塊進(jìn)行持久化

  Purple Fox在失陷主機(jī)上部署Rootkit模塊進(jìn)行持久化,該Rootkit模塊使用了開(kāi)源項(xiàng)目 hidden。

  Purple Fox會(huì)借此隱藏注冊(cè)表項(xiàng)與文件。諷刺的是hidden這個(gè)項(xiàng)目是安全研究人員開(kāi)發(fā),為了在執(zhí)行各種惡意軟件分析任務(wù)時(shí)使某些文件對(duì)惡意軟件不可見(jiàn)。

  重新啟動(dòng)設(shè)備后,Purple Fox將惡意 DLL重命名為將在系統(tǒng)啟動(dòng)時(shí)要執(zhí)行的DLL文件。

  系統(tǒng)感染后會(huì)表現(xiàn)出明顯的蠕蟲(chóng)行為,不斷地進(jìn)行SMB掃描。

  一旦身份驗(yàn)證成功,Purple Fox將會(huì)創(chuàng)建與正則表達(dá)式(AC0[0-9]{1})相匹配的服務(wù)名,例如 AC01、AC02、AC05。該服務(wù)會(huì)從HTTP服務(wù)器下載MSI安裝包啟動(dòng)感染。

  詳細(xì)的IOC指標(biāo)可在 GitHub中查看,包括Purple Fox 的MSI文件投遞站點(diǎn)和 C&C 服務(wù)器。

  IOC(C&C)

  rpc.1qw.us

  57.167.200.174

  120.253.201.237

  65.222.221.216

  65.113.192.79

  77.236.130.107

  180.68.57.112

  95.161.197.174

  60.174.95.143

  115.230.127.107




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。