请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

首页 安全 系统安全 查看内容

PurpleFox恶意软件用新的蠕虫功能攻击Windows

安芯网盾 2021-4-12 20:52

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

Purple Fox恶意软件用新的蠕虫功能攻击Windows机器(3月24日)

一个基于Windows的攻击工具-Purple Fox,现在增加了蠕虫传播模块,可以感染所有通过互联网访问的Windows系统。同时,该恶意软件还有rootkit和后门能力,在利用内存破坏和权限提升漏洞后,通过Web浏览器感染Windows用户,从而破坏用户的系统。

详细信息

据Guardicore Labs实验室的安全研究人员称,自2020年5月以来,基于Purple Fox的攻击数量显著增加,到2021年3月,攻击总数达到9万次,感染数量激增600%。

该恶意软件会在Internet上扫描所有易受攻击的Windows计算机,并在识别出已暴露的Windows系统之后,蠕虫模块使用SMB密码暴力破解来对其进行感染。
此外,Purple Fox利用钓鱼活动和网络浏览器漏洞来部署其有效载荷。到目前为止,它已经在机器人网络上部署了其恶意软件删除程序和其他模块。
在其漫游器网络中添加的设备包括运行Windows IIS 7.5版的Windows计算机,Microsoft FTP,Microsoft RPC,Microsoft Server SQL Server 2008 R2,Microsoft HTTPAPI / 2.0和Microsoft终端服务。

建立持久性:

1、在重新启动受感染的设备之前,该漏洞使用名为hidden的开源rootkit安装了一个rootkit模块。这个隐藏的rootkit可以隐藏被删除的文件、文件夹或在受感染的Windows系统上创建的注册表项。

2、部署rootkit后,恶意软件重命名DLL载荷,以匹配Windows系统DLL,并将其配置为在系统启动时启动。

3、一旦恶意软件在系统启动时执行,每个被感染的系统都表现出类似蠕虫的行为。

4、它向其他可访问的机器发送SMB探针,并试图对响应的机器施加暴力以获得访问权。

参考链接:https://threatpost.com/purple-fox-malware-windows-worm/164993/

专家点评

内存安全知名专家xhbuming

内存破坏可以导致数据的遗失,对企业资产造成一定的不好影响,需要针对内存破坏做好安全防护。安芯神甲智能内存保护系统基于硬件虚拟化技术,能够在应用层、系统层、硬件层提供有机结合的立体防护,解决内存威胁问题。

分享到
文章点评