Purple Fox Rootkit加強感染力 可自我複製感染眾多Windows電腦

以使用攻擊工具及釣魚郵件感染Windows電腦聞名的Rootkit Purple Fox(紫狐),現在更加兇猛,新增蠕蟲般可自我複製的能力,破壞性更強。

以使用攻擊工具及釣魚郵件感染Windows電腦聞名的Rootkit Purple Fox(紫狐),現在更加兇猛,新增蠕蟲般可自我複製的能力,破壞性更強。

安全廠商Guardicore研人員指出,Purple Fox現在使用新式擴散手法,透過無差別掃瞄使用弱密碼和雜湊的SMB服務,加以開採感染系統。研究人員指出,近日Purple Fox的攻擊去年五月已大增600%,到今年初已經有9萬起感染事件。

紫狐首先進攻Windows伺服器

Purple Fox首先於2018年3月被人發現,當時以.msi惡意程式形式代管於近2千台Windows伺服器上,之後下載到到受害系統上,再執行rootkit元件,攻擊者得以藉此將之藏在機器上躲避偵測。

Guardicore指出,和之前相較,Purple Fox在開採後的行為沒有太大不同,但是它新增了蠕蟲的行為,可以更大範圍散佈。

Purple Fox現在可以經由曝險、未補漏洞的服務,如SMB (server message block)等進入受害系統,以此建立長期潛伏的據點,從Windows伺服器網路上下載惡意程式,再於受害宿主上偷偷安裝rootkit。

紫狐拒絕其它惡意程式重複感染

一旦感染機器,Purple Fox會封鎖機器的多個連接埠(445、139和135),似乎是想「防止受害機器重覆感染,或是被其他惡意程式開採,」Guradicore北美安全研究部門副總裁Amit Serper說。

之後Purple Fox會啟動增生過程,會產生IP清單,並以port 445掃瞄,找出網路上使用弱密碼的裝置再暴力破解,將之納入殭屍網路中。

一般殭屍網路是駭客部署來對特定網站發動阻斷服務攻擊,但也可以用來散佈惡意程式,如勒索軟體到連網電腦上。不過目前研究人員尚不知Purple Fox大幅度感染Windows電腦的用意為何。

不過新增的感染途徑再一次突顯,駭客的「創新」腳步不曾停歇,他們會斷改造感染工具以儘可能擴大攻擊面及自己的利益。

來源:The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416