Purple Fox Rootkit加強感染力 可自我複製感染眾多Windows電腦
以使用攻擊工具及釣魚郵件感染Windows電腦聞名的Rootkit Purple Fox(紫狐),現在更加兇猛,新增蠕蟲般可自我複製的能力,破壞性更強。
安全廠商Guardicore研人員指出,Purple Fox現在使用新式擴散手法,透過無差別掃瞄使用弱密碼和雜湊的SMB服務,加以開採感染系統。研究人員指出,近日Purple Fox的攻擊去年五月已大增600%,到今年初已經有9萬起感染事件。
紫狐首先進攻Windows伺服器
Purple Fox首先於2018年3月被人發現,當時以.msi惡意程式形式代管於近2千台Windows伺服器上,之後下載到到受害系統上,再執行rootkit元件,攻擊者得以藉此將之藏在機器上躲避偵測。
Guardicore指出,和之前相較,Purple Fox在開採後的行為沒有太大不同,但是它新增了蠕蟲的行為,可以更大範圍散佈。
Purple Fox現在可以經由曝險、未補漏洞的服務,如SMB (server message block)等進入受害系統,以此建立長期潛伏的據點,從Windows伺服器網路上下載惡意程式,再於受害宿主上偷偷安裝rootkit。
紫狐拒絕其它惡意程式重複感染
一旦感染機器,Purple Fox會封鎖機器的多個連接埠(445、139和135),似乎是想「防止受害機器重覆感染,或是被其他惡意程式開採,」Guradicore北美安全研究部門副總裁Amit Serper說。
之後Purple Fox會啟動增生過程,會產生IP清單,並以port 445掃瞄,找出網路上使用弱密碼的裝置再暴力破解,將之納入殭屍網路中。
一般殭屍網路是駭客部署來對特定網站發動阻斷服務攻擊,但也可以用來散佈惡意程式,如勒索軟體到連網電腦上。不過目前研究人員尚不知Purple Fox大幅度感染Windows電腦的用意為何。
不過新增的感染途徑再一次突顯,駭客的「創新」腳步不曾停歇,他們會斷改造感染工具以儘可能擴大攻擊面及自己的利益。