关于PurpleFoxPurpleFox是一款功能强大的恶意软件,之前版本的PurpleFox主要通过漏洞利用工具包和钓鱼邮件进行传播Fox添加了一个新的蠕虫模块,可以让PurpleFox进行扫描和感染在持续攻击期间连接到外部网络的Windows系统。当前版本的紫狐具有rootkit和后门功能。该恶意软件自2018年首次被发现以来,已经成功感染了至少30,000台设备,攻击者还会使用PurpleFox(用作下载器)在目标设备上下载、安装和部署其他恶意软件。PurpleFox的漏洞利用工具包可以攻击Windows系统,利用目标设备上的内存损坏漏洞和提权漏洞,最终通过网页浏览器感染Windows用户。GuardicoreLabs的安全研究人员AmitSerper和OphirHarpaz表示,自2020年5月以来,紫狐攻击变得更加频繁。总攻击次数达到9万次,感染成功率提升600%。连接互联网的Windows设备受到的攻击最为严重根据Guardicore全球传感器网络(GGSN)收集的遥测数据,该恶意软件自去年年底以来就能够执行主动端口扫描和自动攻击尝试。PurpleFox对联网设备进行扫描,发现一台暴露在互联网上的Windows设备后,利用新增的蠕虫模块,利用SMB密码暴力破解进行感染。根据GuardicoreLabs的报告,到目前为止,PurpleFox已经在一个由近2,000台受感染服务器组成的庞大僵尸网络中部署了恶意软件植入程序和其他模块。该僵尸网络中的设备包括运行IIS7.5和MicrosoftFTP的WindowsServer计算机,以及运行MicrosoftRPC、MicrosoftServerSQLServer2008R2和MicrosoftHTTPAPIhttpd2.0的服务器,以及MicrosoftTerminalService。PurpleFox新的类蠕虫行为允许它利用暴露在互联网上的Windows设备的SMB服务来攻击目标设备以实现服务器感染,同时它也在利用网络钓鱼活动和Web浏览器漏洞来部署它的攻击Payload,这也可以有效提高攻击的成功率。GuardicoreLabs的安全研究人员AmitSerper和OphirHarpaz表示:“在整个研究过程中,我们观察到PurpleFox的一个基础设施似乎由大量托管恶意软件初始有效载荷的易受攻击的服务器组成,所有受感染的设备都成为其中之一整个僵尸网络或服务器基础设施中与其他恶意软件活动相关的节点。”PurpleFox使用开源rootkit实现重启受感染设备后的持续感染在获得持续感染之前,PurpleFox还安装了一个rootkit模块,该模块将使用开源rootkit隐藏已删除的文件和文件夹或在受感染设备上创建的Windows注册表项系统。在部署rootkit并重启设备后,恶意软件重命名其DLL负载以匹配Windows系统DLL,并将其配置为在系统启动时启动。一旦恶意软件在系统启动时执行,每个受感染的系统就会表现出类似蠕虫的行为,不断扫描互联网寻找其他目标,然后尝试攻击它们并将它们添加到僵尸网络中。GuardicoreLabs的安全人员得出结论:“当目标设备响应通过端口445发送的SMB探测消息时,它将尝试通过强制用户名和密码或尝试建立空会话来进行SMB身份验证。如果身份验证成功,恶意软件将创建一个名称匹配正则表达式AC0[0-9]{1}的服务,如AC01、AC02或AC05,然后该服务会从多个HTTP服务器下载MSI安装包,完成设备的循环感染”为了方便广大研究人员的分析研究,我们提供了包含紫狐恶意Payload和服务器资源的GitHub库[这里]。
