Purple Fox Rootkit加強感染力可自我複製感染眾多Windows電腦

以使用攻擊工具及釣魚郵件感染Windows電腦聞名的Rootkit Purple Fox（紫狐），現在更加兇猛，新增蠕蟲般可自我複製的能力，破壞性更強。

安全廠商Guardicore研人員指出，Purple Fox現在使用新式擴散手法，透過無差別掃瞄使用弱密碼和雜湊的SMB服務，加以開採感染系統。研究人員指出，近日Purple Fox的攻擊去年五月已大增600%，到今年初已經有9萬起感染事件。

Purple Fox首先於2018年3月被人發現，當時以.msi惡意程式形式代管於近2千台Windows伺服器上，之後下載到到受害系統上，再執行rootkit元件，攻擊者得以藉此將之藏在機器上躲避偵測。

Guardicore指出，和之前相較，Purple Fox在開採後的行為沒有太大不同，但是它新增了蠕蟲的行為，可以更大範圍散佈。

Purple Fox現在可以經由曝險、未補漏洞的服務，如SMB (server message block)等進入受害系統，以此建立長期潛伏的據點，從Windows伺服器網路上下載惡意程式，再於受害宿主上偷偷安裝rootkit。

一旦感染機器，Purple Fox會封鎖機器的多個連接埠(445、139和135)，似乎是想「防止受害機器重覆感染，或是被其他惡意程式開採，」Guradicore北美安全研究部門副總裁Amit Serper說。

之後Purple Fox會啟動增生過程，會產生IP清單，並以port 445掃瞄，找出網路上使用弱密碼的裝置再暴力破解，將之納入殭屍網路中。

一般殭屍網路是駭客部署來對特定網站發動阻斷服務攻擊，但也可以用來散佈惡意程式，如勒索軟體到連網電腦上。不過目前研究人員尚不知Purple Fox大幅度感染Windows電腦的用意為何。

不過新增的感染途徑再一次突顯，駭客的「創新」腳步不曾停歇，他們會斷改造感染工具以儘可能擴大攻擊面及自己的利益。