《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 兩年感染量翻了6倍,Purple Fox通過蠕蟲攻擊Windows服務(wù)器

兩年感染量翻了6倍,Purple Fox通過蠕蟲攻擊Windows服務(wù)器

2021-03-25
來源: FreeBuf
關(guān)鍵詞: PurpleFox 蠕蟲

  2018年,Purple Fox(紫狐)在野感染超過 30000 臺計算機(jī)后被首次發(fā)現(xiàn)。Purple Fox通過漏洞利用和釣魚郵件進(jìn)行傳播分發(fā),自身還充當(dāng)其他惡意軟件的 Downloader。

  3月23日,據(jù)外媒報道,安全研究人員發(fā)現(xiàn)Purple Fox增加了蠕蟲傳播模塊,通過掃描、攻擊聯(lián)網(wǎng)的 Windows 系統(tǒng)進(jìn)行感染傳播。與此同時,更新的Purple Fox還帶有Rootkit和后門功能。Purple Fox針對Windows系統(tǒng)進(jìn)行漏洞利用套件的開發(fā),在利用內(nèi)存破壞和權(quán)限提升漏洞后,通過Web瀏覽器感染W(wǎng)indows用戶。

  Guardicore Labs的安全研究員Amit Serper和Ophir Harpaz表示:從 2020 年 5 月開始,Purple Fox的攻擊快速攀升。到目前為止,累計超過了90000 次,感染量增長了600%。

 微信圖片_20210325214255.jpg

  Windows 設(shè)備面臨極大風(fēng)險

  Guardicore 利用全球遙測網(wǎng)絡(luò)對威脅進(jìn)行監(jiān)控,Purple Fox從去年年底開始表現(xiàn)出端口掃描和漏洞利用嘗試的行為。掃描發(fā)現(xiàn)聯(lián)網(wǎng)的Windows設(shè)備后,Purple Fox利用蠕蟲模塊試圖通過SMB爆破入侵系統(tǒng)。

  根據(jù) Guardicore Labs 的分析報告,Purple Fox 已經(jīng)組建了近 2000 臺規(guī)模的僵尸網(wǎng)絡(luò)。

  實現(xiàn)主機(jī)中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服務(wù)器以及運行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服務(wù)的服務(wù)器,這些服務(wù)都存在不同程度的漏洞。

  微信圖片_20210325214425.jpg

  Purple Fox的蠕蟲模塊會攻擊公網(wǎng)暴露的SMB服務(wù)來進(jìn)行入侵,不僅如此,Purple Fox還會利用網(wǎng)絡(luò)釣魚和Web瀏覽器漏洞來進(jìn)行投遞和傳播。

  研究發(fā)現(xiàn),失陷主機(jī)同時會被作為部署惡意Payload的服務(wù)器進(jìn)行惡意軟件的傳播。

  Rootkit模塊進(jìn)行持久化

  Purple Fox在失陷主機(jī)上部署Rootkit模塊進(jìn)行持久化,該Rootkit模塊使用了開源項目 hidden。

  Purple Fox會借此隱藏注冊表項與文件。諷刺的是hidden這個項目是安全研究人員開發(fā),為了在執(zhí)行各種惡意軟件分析任務(wù)時使某些文件對惡意軟件不可見。

  重新啟動設(shè)備后,Purple Fox將惡意 DLL重命名為將在系統(tǒng)啟動時要執(zhí)行的DLL文件。

  系統(tǒng)感染后會表現(xiàn)出明顯的蠕蟲行為,不斷地進(jìn)行SMB掃描。

  一旦身份驗證成功,Purple Fox將會創(chuàng)建與正則表達(dá)式(AC0[0-9]{1})相匹配的服務(wù)名,例如 AC01、AC02、AC05。該服務(wù)會從HTTP服務(wù)器下載MSI安裝包啟動感染。

  詳細(xì)的IOC指標(biāo)可在 GitHub中查看,包括Purple Fox 的MSI文件投遞站點和 C&C 服務(wù)器。

  IOC(C&C)

  rpc.1qw.us

  57.167.200.174

  120.253.201.237

  65.222.221.216

  65.113.192.79

  77.236.130.107

  180.68.57.112

  95.161.197.174

  60.174.95.143

  115.230.127.107




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。