文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Purple Fox恶意软件正大肆攻击Windows设备

2024-12-03 07:35

关注

Purple Fox是一款功能强大的恶意软件,之前版本的Purple Fox主要通过漏洞利用工具包和网络钓鱼电子邮件来进行传播,但新版本的Purple Fox新增了一个蠕虫模块,这将允许Purple Fox在持续攻击过程中扫描并感染连接了外网的Windows系统。

[[391969]]

当前版本的Purple Fox具备Rootkit和后门功能,自2018年该恶意软件首次被发现至今,它已经成功感染了至少3万台设备了,而且攻击者还会利用Purple Fox(作为下载器使用)在目标设备上下载、安装和部署其他的恶意软件。

Purple Fox的漏洞利用工具包可以针对Windows系统进行攻击,并在目标设备上利用内存崩溃漏洞和权限提升漏洞,最终通过Web浏览器来感染Windows用户。

Guardicore实验室安全研究人员Amit Serper和Ophir Harpaz表示,从2020年5月开始,Purple Fox攻击活动愈发频繁,攻击活动总数已经达到了9万次,感染成功率增加了600%。

联网的Windows设备成为攻击“重灾区”

根据Guardicore全球传感器网络(GGSN)收集到的遥测数据显示,从去年年底开始,这款恶意软件已经能够执行主动端口扫描和自动攻击尝试了。Purple Fox执行联网设备扫描并发现了暴露在外网中的Windows设备之后,它会使用新添加的蠕虫模块并利用SMB密码爆破攻击来实施感染。

根据Guardicore实验室的报告,到目前为止,Purple Fox已经在一个大规模僵尸网络上部署了恶意软件删除程序和额外的模块,而这个僵尸网络总共由近2000台受到攻击的服务器组成。

这个僵尸网络中的设备包括运行IIS 7.5和Microsoft FTP的Windows Server计算机,以及运行Microsoft RPC、Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0的服务器,以及Microsoft Terminal Service。

虽然Purple Fox新增的这种类似蠕虫的行为允许它利用暴露在外网中Windows设备的SMB服务来对目标设备进行攻击,从而实现服务器感染,但它同时也在利用网络钓鱼活动和Web浏览器漏洞来部署其攻击Payload,这样也可以有效提升攻击的成功率。

Guardicore实验室安全研究人员Amit Serper和Ophir Harpaz说到:“在整个研究过程中,我们观察到了Purple Fox的一个基础设施似乎是由大量易受攻击的服务器所组成的,这些服务器托管着恶意软件的初始Payload,而所有被感染的设备都成为了整个僵尸网络或与其他恶意软件活动有关的服务器基础设施中的其中一个节点。”

 

Purple Fox使用了开源Rootkit实现持久化感染

在重新启动受感染的设备并获得持久化感染之前,Purple Fox还会安装一个Rootkit模块,该模块将使用开源的Rootkit来隐藏在受感染系统上创建的已删除文件和文件夹或Windows注册表项。

在部署Rootkit并重新启动设备后,恶意软件将重命名其DLL Payload以匹配Windows系统DLL,并将其配置为在系统启动时启动。

一旦恶意软件在系统启动时被执行,每个被感染的系统随后都会表现出类似蠕虫的行为,它们不断扫描互联网寻找其他目标,然后试图攻击它们并将它们添加到僵尸网络中。

Guardicore实验室的安全人员总结称:“当目标设备响应了通过端口445发送的SMB探测消息之后,它将会尝试通过爆破用户名和密码或尝试建立空会话的方式进行SMB认证。如果身份验证成功,恶意软件将会创建一个名称跟正则式AC0[0-9]{1}相匹配名称的服务,比如说AC01、AC02或AC05。随后,这个服务会将众多HTTP服务器中的MSI安装包下载下来,并完成设备循环感染。”

为了方便广大研究人员的分析和研究,我们在【这里】提供了包含Purple Fox恶意Payload和服务器资源的GitHub库

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯