新版本的 Purple Fox Windows 恶意软件实现可蠕虫传播

Andrew 2021-03-30
专栏 发布于 2021-03-30 10:04:09 阅读 176 评论 0

Guardicore的研究人员发现了能够实现类似蠕虫传播功能的Purple Fox Windows恶意软件的新变种。

Guardicore的研究人员发现了新版本的Purple Fox Windows恶意软件,该恶意软件实现了蠕虫般的传播功能。直到最近,Purple Fox的操作人员仍使用漏洞利用工具包和网络钓鱼电子邮件来感染计算机。

该恶意软件的早期版本使用漏洞利用工具包和网络钓鱼电子邮件来感染计算机,而新示例针对的是通过SMB密码暴力在线暴露的Windows计算机。

“ Purple Fox是在2018年3月被发现的,它是针对Internet Explorer和Windows计算机的漏洞利用工具包,具有各种特权升级漏洞利用程序。” 读到Guardicore发表的报告说:“但是,在2020年底和2021年初,Guardicore全球传感器网络(GGSN)通过不加区分的端口扫描和利用弱密码和哈希的裸露SMB服务来检测Purple Fox的新颖传播技术。 ”

自2020年5月以来,专家观察到,在2020年余下时间到2021年初之间,攻击次数增加了约600%,总共发生了90,000起攻击。

紫狐恶意软件-graph-watermark

Purple Fox恶意软件于2018年3月首次发现,它以恶意“ .msi”软件包的形式分发,专家们在将近2000台受损的Windows服务器上发现了该软件包。安装程序将提取有效负载,并从MSI软件包中对其进行解密。

据Guardicore称,Purple Fox的后期开发功能没有太大变化。

一旦恶意软件感染了系统,该恶意软件就会阻止多个端口(445、139和135),以防止受感染的计算机被其他攻击者重新感染或确定目标。

该恶意软件尝试通过生成IP范围并在端口445上进行扫描来进行传播,然后它将通过执行暴力攻击或尝试建立空会话来尝试向SMB进行身份验证。

一旦通过身份验证,恶意代码将创建一个名称与正则表达式AC0 [0-9] {1}相匹配的服务(例如AC01,AC02,AC05),该服务将从许多HTTP服务器之一下载MSI安装包。

专家报告说,MSI软件包包含三个文件,一个64位DLL负载(winupdate64),一个32位DLL负载(winupdate32)和一个包含rootkit的加密文件。

安全公司360 Security的研究人员发表了对Purple Fox和rootkit之间关系的详细分析。

“一旦加载了rootkit,安装程序将重新启动计算机,以便将恶意软件DLL重命名为将在启动时执行的系统DLL文件。” 分析结束。“一旦机器重启,恶意软件也将被执行。执行后,恶意软件将开始其传播过程”

Guardicore的专家发布了与最新恶意软件活动相关的危害指标(IoC)。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!