有关Purple Fox
Purple Fox是一款功能齐全的恶意软件,以前版本的Purple Fox关键根据系统漏洞利用工具箱和钓鱼攻击电子邮箱来开展散播,但新版本的Purple Fox新增加了一个蜘蛛控制模块,这将容许Purple Fox在不断攻击全过程中扫描仪并感柒联接了外网地址的Windows系统。
现阶段版本的Purple Fox具有Rootkit和侧门作用,自2018年该恶意软件初次被发觉迄今,它早已取得成功感染了最少3万部设备了,并且攻击者还会继续利用Purple Fox(做为下载工具应用)在总体目标设备上免费下载、安裝和布署别的的恶意软件。
Purple Fox的系统漏洞利用工具箱可以对于Windows系统开展攻击,并在总体目标设备上利用运行内存奔溃系统漏洞和管理权限提高系统漏洞,最后根据Web电脑浏览器来感柒Windows客户。
Guardicore实验室安全科学研究工作人员Amit Serper和Ophir Harpaz表示,从2020年5月逐渐,Purple Fox攻击主题活动更加经常,攻击主题活动数量早已到达了9千次,感柒通过率提升了600%。
连接网络的Windows设备变成攻击“高发区”
依据Guardicore全世界无线传感器(GGSN)搜集到的监测资料显示,从2019年末逐渐,这款恶意软件早已能实行积极端口扫描器和全自动攻击试着了。Purple Fox实行连接网络设备扫描仪并看到了曝露在外面网里的Windows设备以后,它会应用新加入的蜘蛛控制模块并利用SMB登陆密码工程爆破攻击来执行感柒。
依据Guardicore试验室的汇报,到现在为止,Purple Fox早已在一个规模性僵尸网络上构建了恶意软件删除程序和附加的控制模块,而这一僵尸网络一共由近2000台遭受攻击的网络服务器构成。
这一僵尸网络中的设备包含运作IIS 7.5和Microsoft FTP的Windows Server电子计算机,及其运作Microsoft RPC、Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0的网络服务器,及其Microsoft Terminal Service。
尽管Purple Fox新增加的这类相近蜘蛛的个人行为容许它利用曝露在外面网里Windows设备的SMB服务项目来对总体目标设备开展攻击,进而完成网络服务器感柒,但它一起也在利用钓鱼攻击主题活动和Web电脑浏览器系统漏洞来布署其攻击Payload,那样也能够合理提高攻击的通过率。
Guardicore实验室安全科学研究工作人员Amit Serper和Ophir Harpaz说到:“在全部研究过程中,大家观查到了Purple Fox的一个基础设施建设好像是由很多易受攻击的网络服务器所构成的,这种主机托管着恶意软件的原始Payload,而全部被感染的设备都成為了全部僵尸网络或与别的恶意软件主题活动相关的网络服务器基础设施建设中的在其中一个连接点。”
Purple Fox应用了开源系统Rootkit完成分布式锁感柒
在重启受传染的设备并得到分布式锁感柒以前,Purple Fox还会继续组装一个Rootkit控制模块,该模块将应用开源系统的Rootkit来掩藏在受感柒系统软件上建立的已删除文件夹和文件夹名称或Windows注册表项。
在布署Rootkit并重启设备后,恶意软件将重新命名其DLL Payload以配对Windows系统DLL,并将其配备为在开机启动时运行。
一旦恶意软件在开机启动时强制执行,每一个被感染的系统软件接着都是会体现出相近蜘蛛的个人行为,他们持续扫描仪互联网技术找寻别的总体目标,随后尝试攻击他们并将它们加入到僵尸网络中。
Guardicore试验室的安全防护工作人员汇总称:“当总体目标设备回应了根据端口号445推送的SMB检测信息以后,它可能试着根据工程爆破账户密码或试着创建空对话的形式开展SMB验证。假如身份认证取得成功,恶意软件可能建立一个名字跟正则表达式式AC0[0-9]{1}相符合名字的服务项目,例如AC01、AC02或AC05。接着,这一服务项目会将诸多HTTP网络服务器中的MSI安装包下载出来,并进行设备循环系统感柒。”
为了更好地便于众多科学研究员工的剖析和科学研究,我们在【这儿】给予了包括Purple Fox故意Payload和服务器空间的GitHub库。