两年感染量翻了6倍,Purple Fox通过蠕虫攻击Windows服务器
2021-03-25 00:08:30 Author: www.freebuf.com(查看原文) 阅读量:155 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2018年,Purple Fox(紫狐)在野感染超过 30000 台计算机后被首次发现。Purple Fox通过漏洞利用和钓鱼邮件进行传播分发,自身还充当其他恶意软件的 Downloader。

3月23日,据外媒报道,安全研究人员发现Purple Fox增加了蠕虫传播模块,通过扫描、攻击联网的 Windows 系统进行感染传播。与此同时,更新的Purple Fox还带有Rootkit和后门功能。Purple Fox针对Windows系统进行漏洞利用套件的开发,在利用内存破坏和权限提升漏洞后,通过Web浏览器感染Windows用户。

Guardicore Labs的安全研究员Amit Serper和Ophir Harpaz表示:从 2020 年 5 月开始,Purple Fox的攻击快速攀升。到目前为止,累计超过了90000 次,感染量增长了600%

Windows 设备面临极大风险

Guardicore 利用全球遥测网络对威胁进行监控,Purple Fox从去年年底开始表现出端口扫描和漏洞利用尝试的行为。扫描发现联网的Windows设备后,Purple Fox利用蠕虫模块试图通过SMB爆破入侵系统

根据 Guardicore Labs 的分析报告Purple Fox 已经组建了近 2000 台规模的僵尸网络

实现主机中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服务器以及运行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服务的服务器,这些服务都存在不同程度的漏洞。

Purple Fox的蠕虫模块会攻击公网暴露的SMB服务来进行入侵,不仅如此,Purple Fox还会利用网络钓鱼和Web浏览器漏洞来进行投递和传播

研究发现,失陷主机同时会被作为部署恶意Payload的服务器进行恶意软件的传播

Rootkit模块进行持久化

Purple Fox在失陷主机上部署Rootkit模块进行持久化,该Rootkit模块使用了开源项目 hidden

Purple Fox会借此隐藏注册表项与文件。讽刺的是hidden这个项目是安全研究人员开发,为了在执行各种恶意软件分析任务时使某些文件对恶意软件不可见

重新启动设备后,Purple Fox将恶意 DLL重命名为将在系统启动时要执行的DLL文件。

系统感染后会表现出明显的蠕虫行为,不断地进行SMB扫描。

1616642844_605c031c62cf907001898.png!small?1616642844187

一旦身份验证成功,Purple Fox将会创建与正则表达式(AC0[0-9]{1})相匹配的服务名,例如 AC01、AC02、AC05。该服务会从HTTP服务器下载MSI安装包启动感染。

详细的IOC指标可在 GitHub中查看,包括Purple Fox 的MSI文件投递站点和 C&C 服务器。

IOC(C&C)

rpc.1qw.us
57.167.200.174
120.253.201.237
65.222.221.216
65.113.192.79
77.236.130.107
180.68.57.112
95.161.197.174
60.174.95.143
115.230.127.107

参考来源

BleepingComputer

Guardicore


文章来源: https://www.freebuf.com/news/267394.html
如有侵权请联系:admin#unsafe.sh