新闻中心 > 新闻详情

内存安全周报第37期|Purple Fox恶意软件用新的蠕虫功能攻击Windows机器

2021 年 03 月 29 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。


Purple Fox恶意软件用新的蠕虫功能攻击Windows机器(3月24日)

一个基于Windows的攻击工具-Purple Fox,现在增加了蠕虫传播模块,可以感染所有通过互联网访问的Windows系统。同时,该恶意软件还有rootkit和后门能力,在利用内存破坏和权限提升漏洞后,通过Web浏览器感染Windows用户,从而破坏用户的系统。

详细信息

据Guardicore Labs实验室的安全研究人员称,自2020年5月以来,基于Purple Fox的攻击数量显著增加,到2021年3月,攻击总数达到9万次,感染数量激增600%。

  • 该恶意软件会在Internet上扫描所有易受攻击的Windows计算机,并在识别出已暴露的Windows系统之后,蠕虫模块使用SMB密码暴力破解来对其进行感染。
  • 此外,Purple Fox利用钓鱼活动和网络浏览器漏洞来部署其有效载荷。到目前为止,它已经在机器人网络上部署了其恶意软件删除程序和其他模块。
  • 在其漫游器网络中添加的设备包括运行Windows IIS 7.5版的Windows计算机,Microsoft FTP,Microsoft RPC,Microsoft Server SQL Server 2008 R2,Microsoft HTTPAPI / 2.0和Microsoft终端服务。
攻击图

建立持久性:

1、在重新启动受感染的设备之前,该漏洞使用名为hidden的开源rootkit安装了一个rootkit模块。这个隐藏的rootkit可以隐藏被删除的文件、文件夹或在受感染的Windows系统上创建的注册表项。

2、部署rootkit后,恶意软件重命名DLL载荷,以匹配Windows系统DLL,并将其配置为在系统启动时启动。

3、一旦恶意软件在系统启动时执行,每个被感染的系统都表现出类似蠕虫的行为。

4、它向其他可访问的机器发送SMB探针,并试图对响应的机器施加暴力以获得访问权。

参考链接: https://threatpost.com/purple-fox-malware-windows-worm/164993/

专家点评


#内存安全知名专家xhbuming

内存破坏可以导致数据的遗失,对企业资产造成一定的不好影响,需要针对内存破坏做好安全防护。安芯神甲内存安全产品基于硬件虚拟化技术,能够在应用层、系统层、硬件层提供有机结合的立体防护,解决内存威胁问题。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24