GHOST系统之家 - Windows系统光盘下载网站!
当前位置:GHOST系统之家>电脑问题 > Purple Fox恶意软件正大肆攻击Windows设备

Purple Fox恶意软件正大肆攻击Windows设备

来源:Ghost系统之家浏览:时间:2022-10-25 22:39:13

关于Purple Fox

Purple Fox是一款功能强大的恶意软件,之前版本的PurpleFox主要通过漏洞利用工具包和网络钓鱼电子邮件来进行传播,但新版本的PurpleFox新增了一个蠕虫模块,这将允许PurpleFox在持续攻击过程中扫描并感染连接了外网的windows系统。

当前版本的PurpleFox具备Rootkit和后门功能,自2018年该恶意软件首次被发现至今,它已经成功感染了至少3万台设备了,而且攻击者还会利用PurpleFox(作为下载器使用)在目标设备上下载、安装和部署其他的恶意软件。

PurpleFox的漏洞利用工具包可以针对windows系统进行攻击,并在目标设备上利用内存崩溃漏洞和权限提升漏洞,最终通过Web浏览器来感染Windows用户。

Guardicore实验室安全研究人员Amit Serper和OphirHarpaz表示,从2020年5月开始,PurpleFox攻击活动愈发频繁,攻击活动总数已经达到了9万次,感染成功率增加了600%。

联网的Windows设备成为攻击“重灾区”

根据Guardicore全球传感器网络(GGSN)收集到的遥测数据显示,从去年年底开始,这款恶意软件已经能够执行主动端口扫描和自动攻击尝试了。PurpleFox执行联网设备扫描并发现了暴露在外网中的Windows设备之后,它会使用新添加的蠕虫模块并利用SMB密码爆破攻击来实施感染。

根据Guardicore实验室的报告,到目前为止,PurpleFox已经在一个大规模僵尸网络上部署了恶意软件删除程序和额外的模块,而这个僵尸网络总共由近2000台受到攻击的服务器组成。

这个僵尸网络中的设备包括运行IIS 7.5和Microsoft FTP的WindowsServer计算机,以及运行MicrosoftRPC、Microsoft Server SQL Server 2008 R2和MicrosoftHTTPAPI httpd2.0的服务器,以及Microsoft Terminal Service。

虽然PurpleFox新增的这种类似蠕虫的行为允许它利用暴露在外网中Windows设备的SMB服务来对目标设备进行攻击,从而实现服务器感染,但它同时也在利用网络钓鱼活动和Web浏览器漏洞来部署其攻击Payload,这样也可以有效提升攻击的成功率。

Guardicore实验室安全研究人员Amit Serper和OphirHarpaz说到:“在整个研究过程中,我们观察到了PurpleFox的一个基础设施似乎是由大量易受攻击的服务器所组成的,这些服务器托管着恶意软件的初始Payload,而所有被感染的设备都成为了整个僵尸网络或与其他恶意软件活动有关的服务器基础设施中的其中一个节点。”

Purple Fox使用了开源Rootkit实现持久化感染

在重新启动受感染的设备并获得持久化感染之前,PurpleFox还会安装一个Rootkit模块,该模块将使用开源的Rootkit来隐藏在受感染系统上创建的已删除文件和文件夹或Windows注册表项。

在部署Rootkit并重新启动设备后,恶意软件将重命名其DLL Payload以匹配Windows系统DLL,并将其配置为在系统启动时启动。

一旦恶意软件在系统启动时被执行,每个被感染的系统随后都会表现出类似蠕虫的行为,它们不断扫描互联网寻找其他目标,然后试图攻击它们并将它们添加到僵尸网络中。

Guardicore实验室的安全人员总结称:“当目标设备响应了通过端口445发送的SMB探测消息之后,它将会尝试通过爆破用户名和密码或尝试建立空会话的方式进行SMB认证。如果身份验证成功,恶意软件将会创建一个名称跟正则式AC0[0-9]{1}相匹配名称的服务,比如说AC01、AC02或AC05。随后,这个服务会将众多HTTP服务器中的MSI安装包下载下来,并完成设备循环感染。”

为了方便广大研究人员的分析和研究,我们在【这里】提供了包含Purple Fox恶意Payload和服务器资源的GitHub库。

推荐系统

  • 雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    语言:中文版系统大小:5.91GB系统类型:Win7

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户

  • 番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载

    语言:中文版系统大小:3.91GB系统类型:Win7

    欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统

  • 番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过

  • 笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动

  • 雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活

  • 深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载

    语言:中文版系统大小:3.98GB系统类型:Win10

    深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程