2018年,Purple Fox(紫狐)在野感染超過 30000 臺計算機(jī)后被首次發(fā)現(xiàn)。Purple Fox通過漏洞利用和釣魚郵件進(jìn)行傳播分發(fā),自身還充當(dāng)其他惡意軟件的 Downloader。
3月23日,據(jù)外媒報道,安全研究人員發(fā)現(xiàn)Purple Fox增加了蠕蟲傳播模塊,通過掃描、攻擊聯(lián)網(wǎng)的 Windows 系統(tǒng)進(jìn)行感染傳播。與此同時,更新的Purple Fox還帶有Rootkit和后門功能。Purple Fox針對Windows系統(tǒng)進(jìn)行漏洞利用套件的開發(fā),在利用內(nèi)存破壞和權(quán)限提升漏洞后,通過Web瀏覽器感染W(wǎng)indows用戶。
Guardicore Labs的安全研究員Amit Serper和Ophir Harpaz表示:從 2020 年 5 月開始,Purple Fox的攻擊快速攀升。到目前為止,累計超過了90000 次,感染量增長了600%。
Windows 設(shè)備面臨極大風(fēng)險
Guardicore 利用全球遙測網(wǎng)絡(luò)對威脅進(jìn)行監(jiān)控,Purple Fox從去年年底開始表現(xiàn)出端口掃描和漏洞利用嘗試的行為。掃描發(fā)現(xiàn)聯(lián)網(wǎng)的Windows設(shè)備后,Purple Fox利用蠕蟲模塊試圖通過SMB爆破入侵系統(tǒng)。
根據(jù) Guardicore Labs 的分析報告,Purple Fox 已經(jīng)組建了近 2000 臺規(guī)模的僵尸網(wǎng)絡(luò)。
實現(xiàn)主機(jī)中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服務(wù)器以及運行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服務(wù)的服務(wù)器,這些服務(wù)都存在不同程度的漏洞。
Purple Fox的蠕蟲模塊會攻擊公網(wǎng)暴露的SMB服務(wù)來進(jìn)行入侵,不僅如此,Purple Fox還會利用網(wǎng)絡(luò)釣魚和Web瀏覽器漏洞來進(jìn)行投遞和傳播。
研究發(fā)現(xiàn),失陷主機(jī)同時會被作為部署惡意Payload的服務(wù)器進(jìn)行惡意軟件的傳播。
Rootkit模塊進(jìn)行持久化
Purple Fox在失陷主機(jī)上部署Rootkit模塊進(jìn)行持久化,該Rootkit模塊使用了開源項目 hidden。
Purple Fox會借此隱藏注冊表項與文件。諷刺的是hidden這個項目是安全研究人員開發(fā),為了在執(zhí)行各種惡意軟件分析任務(wù)時使某些文件對惡意軟件不可見。
重新啟動設(shè)備后,Purple Fox將惡意 DLL重命名為將在系統(tǒng)啟動時要執(zhí)行的DLL文件。
系統(tǒng)感染后會表現(xiàn)出明顯的蠕蟲行為,不斷地進(jìn)行SMB掃描。
一旦身份驗證成功,Purple Fox將會創(chuàng)建與正則表達(dá)式(AC0[0-9]{1})相匹配的服務(wù)名,例如 AC01、AC02、AC05。該服務(wù)會從HTTP服務(wù)器下載MSI安裝包啟動感染。
詳細(xì)的IOC指標(biāo)可在 GitHub中查看,包括Purple Fox 的MSI文件投遞站點和 C&C 服務(wù)器。
IOC(C&C)
rpc.1qw.us
57.167.200.174
120.253.201.237
65.222.221.216
65.113.192.79
77.236.130.107
180.68.57.112
95.161.197.174
60.174.95.143
115.230.127.107