安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

Purple Fox恶意软件用新的蠕虫功能攻击Windows机器(3月24日)

一个基于Windows的攻击工具-Purple Fox，现在增加了蠕虫传播模块，可以感染所有通过互联网访问的Windows系统。同时，该恶意软件还有rootkit和后门能力，在利用内存破坏和权限提升漏洞后，通过Web浏览器感染Windows用户，从而破坏用户的系统。

详细信息

据Guardicore Labs实验室的安全研究人员称，自2020年5月以来，基于Purple Fox的攻击数量显著增加，到2021年3月，攻击总数达到9万次，感染数量激增600%。

该恶意软件会在Internet上扫描所有易受攻击的Windows计算机，并在识别出已暴露的Windows系统之后，蠕虫模块使用SMB密码暴力破解来对其进行感染。
此外，Purple Fox利用钓鱼活动和网络浏览器漏洞来部署其有效载荷。到目前为止，它已经在机器人网络上部署了其恶意软件删除程序和其他模块。
在其漫游器网络中添加的设备包括运行Windows IIS 7.5版的Windows计算机，Microsoft FTP，Microsoft RPC，Microsoft Server SQL Server 2008 R2，Microsoft HTTPAPI / 2.0和Microsoft终端服务。

建立持久性：

1、在重新启动受感染的设备之前，该漏洞使用名为hidden的开源rootkit安装了一个rootkit模块。这个隐藏的rootkit可以隐藏被删除的文件、文件夹或在受感染的Windows系统上创建的注册表项。

2、部署rootkit后，恶意软件重命名DLL载荷，以匹配Windows系统DLL，并将其配置为在系统启动时启动。

3、一旦恶意软件在系统启动时执行，每个被感染的系统都表现出类似蠕虫的行为。

4、它向其他可访问的机器发送SMB探针，并试图对响应的机器施加暴力以获得访问权。

参考链接：https://threatpost.com/purple-fox-malware-windows-worm/164993/

专家点评

内存安全知名专家xhbuming

内存破坏可以导致数据的遗失，对企业资产造成一定的不好影响，需要针对内存破坏做好安全防护。安芯神甲智能内存保护系统基于硬件虚拟化技术，能够在应用层、系统层、硬件层提供有机结合的立体防护，解决内存威胁问题。