日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
PurpleFox惡意軟件正大肆攻擊Windows設(shè)備

關(guān)于Purple Fox

Purple Fox是一款功能強(qiáng)大的惡意軟件,之前版本的Purple Fox主要通過漏洞利用工具包和網(wǎng)絡(luò)釣魚電子郵件來進(jìn)行傳播,但新版本的Purple Fox新增了一個(gè)蠕蟲模塊,這將允許Purple Fox在持續(xù)攻擊過程中掃描并感染連接了外網(wǎng)的Windows系統(tǒng)。

當(dāng)前版本的Purple Fox具備Rootkit和后門功能,自2018年該惡意軟件首次被發(fā)現(xiàn)至今,它已經(jīng)成功感染了至少3萬臺(tái)設(shè)備了,而且攻擊者還會(huì)利用Purple Fox(作為下載器使用)在目標(biāo)設(shè)備上下載、安裝和部署其他的惡意軟件。

Purple Fox的漏洞利用工具包可以針對(duì)Windows系統(tǒng)進(jìn)行攻擊,并在目標(biāo)設(shè)備上利用內(nèi)存崩潰漏洞和權(quán)限提升漏洞,最終通過Web瀏覽器來感染W(wǎng)indows用戶。

Guardicore實(shí)驗(yàn)室安全研究人員Amit Serper和Ophir Harpaz表示,從2020年5月開始,Purple Fox攻擊活動(dòng)愈發(fā)頻繁,攻擊活動(dòng)總數(shù)已經(jīng)達(dá)到了9萬次,感染成功率增加了600%。

聯(lián)網(wǎng)的Windows設(shè)備成為攻擊“重災(zāi)區(qū)”

根據(jù)Guardicore全球傳感器網(wǎng)絡(luò)(GGSN)收集到的遙測數(shù)據(jù)顯示,從去年年底開始,這款惡意軟件已經(jīng)能夠執(zhí)行主動(dòng)端口掃描和自動(dòng)攻擊嘗試了。Purple Fox執(zhí)行聯(lián)網(wǎng)設(shè)備掃描并發(fā)現(xiàn)了暴露在外網(wǎng)中的Windows設(shè)備之后,它會(huì)使用新添加的蠕蟲模塊并利用SMB密碼爆破攻擊來實(shí)施感染。

根據(jù)Guardicore實(shí)驗(yàn)室的報(bào)告,到目前為止,Purple Fox已經(jīng)在一個(gè)大規(guī)模僵尸網(wǎng)絡(luò)上部署了惡意軟件刪除程序和額外的模塊,而這個(gè)僵尸網(wǎng)絡(luò)總共由近2000臺(tái)受到攻擊的服務(wù)器組成。

這個(gè)僵尸網(wǎng)絡(luò)中的設(shè)備包括運(yùn)行IIS 7.5和Microsoft FTP的Windows Server計(jì)算機(jī),以及運(yùn)行Microsoft RPC、Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0的服務(wù)器,以及Microsoft Terminal Service。

雖然Purple Fox新增的這種類似蠕蟲的行為允許它利用暴露在外網(wǎng)中Windows設(shè)備的SMB服務(wù)來對(duì)目標(biāo)設(shè)備進(jìn)行攻擊,從而實(shí)現(xiàn)服務(wù)器感染,但它同時(shí)也在利用網(wǎng)絡(luò)釣魚活動(dòng)和Web瀏覽器漏洞來部署其攻擊Payload,這樣也可以有效提升攻擊的成功率。

Guardicore實(shí)驗(yàn)室安全研究人員Amit Serper和Ophir Harpaz說到:“在整個(gè)研究過程中,我們觀察到了Purple Fox的一個(gè)基礎(chǔ)設(shè)施似乎是由大量易受攻擊的服務(wù)器所組成的,這些服務(wù)器托管著惡意軟件的初始Payload,而所有被感染的設(shè)備都成為了整個(gè)僵尸網(wǎng)絡(luò)或與其他惡意軟件活動(dòng)有關(guān)的服務(wù)器基礎(chǔ)設(shè)施中的其中一個(gè)節(jié)點(diǎn)?!?/p>

Purple Fox使用了開源Rootkit實(shí)現(xiàn)持久化感染

在重新啟動(dòng)受感染的設(shè)備并獲得持久化感染之前,Purple Fox還會(huì)安裝一個(gè)Rootkit模塊,該模塊將使用開源的Rootkit來隱藏在受感染系統(tǒng)上創(chuàng)建的已刪除文件和文件夾或Windows注冊(cè)表項(xiàng)。

在部署Rootkit并重新啟動(dòng)設(shè)備后,惡意軟件將重命名其DLL Payload以匹配Windows系統(tǒng)DLL,并將其配置為在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)。

一旦惡意軟件在系統(tǒng)啟動(dòng)時(shí)被執(zhí)行,每個(gè)被感染的系統(tǒng)隨后都會(huì)表現(xiàn)出類似蠕蟲的行為,它們不斷掃描互聯(lián)網(wǎng)尋找其他目標(biāo),然后試圖攻擊它們并將它們添加到僵尸網(wǎng)絡(luò)中。

Guardicore實(shí)驗(yàn)室的安全人員總結(jié)稱:“當(dāng)目標(biāo)設(shè)備響應(yīng)了通過端口445發(fā)送的SMB探測消息之后,它將會(huì)嘗試通過爆破用戶名和密碼或嘗試建立空會(huì)話的方式進(jìn)行SMB認(rèn)證。如果身份驗(yàn)證成功,惡意軟件將會(huì)創(chuàng)建一個(gè)名稱跟正則式AC0[0-9]{1}相匹配名稱的服務(wù),比如說AC01、AC02或AC05。隨后,這個(gè)服務(wù)會(huì)將眾多HTTP服務(wù)器中的MSI安裝包下載下來,并完成設(shè)備循環(huán)感染?!?/p>

為了方便廣大研究人員的分析和研究,我們?cè)凇具@里】提供了包含Purple Fox惡意Payload和服務(wù)器資源的GitHub庫。


新聞標(biāo)題:PurpleFox惡意軟件正大肆攻擊Windows設(shè)備
URL分享:http://www.dlmjj.cn/article/djdcgdg.html