吳明宜Purple Fox Rootkit 加強感染力 可自我複製感染眾多 Windows 電腦
以使用攻擊工具及釣魚郵件感染 Windows 電腦聞名的 Rootkit Purple Fox(紫狐),現在更加兇猛,新增蠕蟲般可自我複製的能力,破壞性更強。
安全廠商 Guardicore 研人員指出,Purple Fox 現在使用新式擴散手法,透過無差別掃瞄使用弱密碼和雜湊的 SMB 服務,加以開採感染系統。研究人員指出,近日 Purple Fox 的攻擊去年五月已大增 600%,到今年初已經有 9 萬起感染事件。
紫狐首先進攻 Windows 伺服器
Purple Fox 首先於 2018 年 3 月被人發現,當時以.msi 惡意程式形式代管於近 2 千台 Windows 伺服器上,之後下載到到受害系統上,再執行 rootkit 元件,攻擊者得以藉此將之藏在機器上躲避偵測。
Guardicore 指出,和之前相較,Purple Fox 在開採後的行為沒有太大不同,但是它新增了蠕蟲的行為,可以更大範圍散佈。
Purple Fox 現在可以經由曝險、未補漏洞的服務,如 SMB (server message block) 等進入受害系統,以此建立長期潛伏的據點,從 Windows 伺服器網路上下載惡意程式,再於受害宿主上偷偷安裝 rootkit。
紫狐拒絕其它惡意程式重複感染
一旦感染機器,Purple Fox 會封鎖機器的多個連接埠 (445、139 和 135),似乎是想「防止受害機器重覆感染,或是被其他惡意程式開採,」Guradicore 北美安全研究部門副總裁 Amit Serper 說。
之後 Purple Fox 會啟動增生過程,會產生 IP 清單,並以 port 445 掃瞄,找出網路上使用弱密碼的裝置再暴力破解,將之納入殭屍網路中。
一般殭屍網路是駭客部署來對特定網站發動阻斷服務攻擊,但也可以用來散佈惡意程式,如勒索軟體到連網電腦上。不過目前研究人員尚不知 Purple Fox 大幅度感染 Windows 電腦的用意為何。
不過新增的感染途徑再一次突顯,駭客的「創新」腳步不曾停歇,他們會斷改造感染工具以儘可能擴大攻擊面及自己的利益。