Purple Fox攻击流程中增加了新的CVE、隐写术和虚拟化技术
Purple Fox属于一种下载型木马,能够在感染目标计算机后下载其他恶意软件,如加密货币挖矿恶意软件。用户一旦被感染,就将面临各种各样的威胁。
研究人员最近发现攻击者利用Purple Fox攻击工具包攻击易受攻击的Internet Explorer版本的次数激增。
调查显示,PurpleFox反复尝试通过公开可用的漏洞利用代码,包括使用两个最新的CVE-CVE-2020-1054和CVE-2019-0808。
此外,我们注意到他们的攻击流程发生了其他变化,这些变化使他们可以采用隐写术并通过代码虚拟化技术覆盖恶意代码,从而更好地规避防火墙保护和某些检测工具。
在最近几年中,PurpleFox改进了其攻击和传播方法。它最初在2018年9月被发现,PurpleFox在2019年放弃使用NSIS(Nullsoft脚本可安装系统)和Rig漏洞利用工具包,而是采用PowerShell来实现无文件执行。今年早些时候,ProofPoint详细介绍了PurpleFox如何将CVE-2020-0674和CVE-2019-1458添加到其武器库中。研究表明,PurpleFox已再次进行了迭代,添加了更多CVE以实现特权升级,并采用隐写和虚拟化技术来避免检测和妨碍安全人员分析。
有效载荷传播流程
在我们观察到的攻击中,通过广告或仅通过单击错误的URL将受害者定向到恶意站点。攻击者将他们的恶意软件托管在speedjudgmentacceleration[.]com上,并针对InternetExplorer用户发起攻击。
该漏洞利用VBScript代码作为命令行运行mshta.exe,然后运行PowerShell。PowerShell代码从http[:]//rawcdn[.]githack[.]cyou/up.php?key=1下载并在内存中执行下一阶段的代码。
下一阶段将遵循与以前版本的Purple Fox类似的模式,首先检查它是否以管理员权限运行。如果是这样,它将直接从攻击者的站点安装key=2的MSI软件包。否则,它会尝试几种不同的“本地特权升级”漏洞来首先提升。
新特权升级漏洞
在最新版本的Purple Fox中,攻击者改进了两点。
过去,Purple Fox会下载使用图像文件扩展名(update.jpg)的本地特权升级(local privilegeescalation,LPE)二进制文件,但它实际上是一个常规的可执行文件。适当的防火墙规则或安全软件可以很容易地检测到这种技术是恶意的。
现在,新版本的漏洞利用工具包将下载实际的映像文件(key = 3和key = 4),并使用隐写术将每个LPE嵌入映像中。下面是一个使用的图像示例:
下载后,将其提取到内存中。以下代码用于解码和运行有效载荷:
此外,现在正在利用两个新的漏洞来帮助提升本地特权:CVE-2020-1054和CVE-2019-0808。两者都是Win32k组件中的内核漏洞。CVE-2020-1054于今年5月进行了修补。我们发现利用这些漏洞的攻击者二进制文件分别在2020年8月11日和2020年9月10日进行了编译。
该漏洞利用程序包含调试信息和大量信息字符串。例如,CVE-2020-1054上的调试路径为:
从编译时的文件夹名称可以看出,该代码来自Git存储库。我们能够快速将漏洞利用追溯到以下公共存储库:CVE-2020-1054,CVE-2019-0808。
不幸的是,到目前为止,在野外还没有寻找到更多具有类似特征的二进制文件。
值得注意的是,所有的脚本都检查HKCU\Software\7-Zip下一个特定且一致的注册表值“StayOnTop”,设置此值似乎使恶意软件能够确定有效载荷是否成功运行。因此,在计算机注册表中找到该值就可以表示PurpleFox做出了哪些攻击。
Rootkit有效载荷
PowerShell脚本和特权升级利用的目的最终是在计算机上安装rootkit。如何释放有效载荷和Rootkit组件
趋势科技表示,早期版本的“紫狐狸”使用了msi.dll的MsiInstallProductA函数来下载并执行其有效载荷——一个.msi文件,其中包含加密的shellcode以及32位和64位版本的有效载荷。
一旦执行,它将重新启动计算机并使用PendingFileRenameOperations注册表(负责存储操作系统重新启动时将重命名的文件的名称)以重命名其组件。
在重新启动计算机后,它将使用其Rootkit功能(隐藏其文件和注册表项)创建一个挂起的svchost进程并注入一个DLL,然后创建一个具有Rootkit功能的驱动程序。
在执行有效载荷之前,它还会在注入的DLL中设置以下内容:驱动程序文件(dump_ {randomhex}.sys)——负责Rootkit功能,主组件是一个DLL文件(Ms {random hex} App.dll)。
然而,与早期版本不同,新版本“紫狐狸”选择了使用开源代码来启用其Rootkit组件,包括隐藏并保护其文件和注册表项。同样值得注意的是,新版本“紫狐狸”还会使用一个文件实用程序软件来隐藏其DLL组件,这阻止了逆向工程或破解尝试。
但是,鉴于技术迭代带来的变化,我们想检查有效载荷方面是否还有任何新的发展。
我们在新域中找到了两个版本的恶意软件,它们都是rootkit的MSI安装程序,其中一个丢失了文件。
安装过程大致相同,重启后,我们仍然看到使用PendingFileRenameOperations将文件放置在system32目录下。然而,在MSI包中的CustomAction表有vbscript代码,运行以下内容:
有趣的是,这些命令直接来自微软有关如何防御CVE-2020-0674漏洞(Internet ExplorerRCE)的咨询,该漏洞被PurpleFox使用来获得初始访问权限。我们推测保护新感染的计算机不受该漏洞的影响可能是为了阻止竞争对手。
从MSI软件包中提取恶意软件后,我们注意到有效载荷还具有一项重要的新功能,不过它现在受VMProtect保护。
从PE的分区表中可以轻松观察到VMProtect的使用:
“.vmp%d” 部分中的入口点清楚地表明了VMProtect
由于采用多种技术来隐藏原始代码并对其进行模糊处理,因此安全研究人员的逆向处理变得更加困难了。
解压缩VMProtect
逆向VMProtected二进制文件时,有两个主要障碍需要克服:打包数据和虚拟指令。
我们首先必须解压缩二进制文件中的数据,为此,我们使用了强大的x64dbg并打开了文件。之后,我们在VirtualProtect函数的开始处放置一个断点:
想要记录对该函数的所有调用,就要在“Log Text”框中输入:
VirtualProtect: lpAddress={a:[esp+4]},dwSize={d:[esp+8]},flNewProtect={x:[esp+C]} ;
运行它,直到它崩溃,给出如下输出:
可以看到数据可能被解压缩到虚拟地址0x401000,因此我们要监控该地址,直到将数据写入该地址为止。
重新启动程序后,我们再次在VirtualProtect上放置一个断点,并使该断点命中八次。然后,我们将EIP设置为该地址,并使用x64dbg的内置Scylla插件转储二进制文件并修复其导入:
这为我们提供了一个更小的,可调试的DLL文件,其中包含大量纯文本字符串,以帮助我们调查恶意软件。
DLL的代码仍使用虚拟化的调用进行了模糊处理,但幸运的是,我们在字符串中找到了以下代码:
这类似于之前报告的rootkit版本,后者只是他们下载并编译的公共rootkit。根据这些信息,我们推断出他们并没有实质性地升级rootkit的功能。
总结
PurpleFox开发工具包正在积极升级迭代中,正如我们自2018年9月以来以及在我们的研究中再次看到的那样,恶意软件开发者正在试图绕过Microsoft补丁程序,以便针对那些组织和安全团队利用公开的利用代码而未能及时修补的漏洞。这个新的变种还通过采用隐写术来隐藏LPE二进制文件,并利用商业软件来保护其代码不被分析,从而提高了其逃避检测的能力。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 世界网络空间安全领域2020年度十大进展
- 网络安全保险迎发展机遇期
- 聊聊等保2.0实施落地那些事儿
- 网络安全攻防:ZigBee安全
- Informix注入整理
- u盘被写保护怎么办 u盘被写保护解决方法【详解】
- 使用系统自带的多线程复制工具
- P7、P8起步跑,年薪百万各路HR找?白帽子揭秘真实的阿里安全
- 钓鱼邮件新形式,黑客利用特朗普传播钓鱼邮件,诱骗用户下载后门
- UltraRank 黑客发起的新型攻击
- 网络攻击日益凶猛 边缘安全如何发挥价值?
- Facebook因未经用户允许共享数据被韩国罚款
- Windows 10安全指南:如何通过配置全方位保护您的计算机
- 移动通信安全失败使企业面临风险
- 微软成立亚太地区公共部门网络安全执行委员会以策协同应对网络攻击
- Win7系统恢复后无线网络连接不上怎么解决?
- 网贷巴士所有数据被黑客清除?官方:未被清除,但可能被篡改
- Common Unix Printing System CGI远程堆溢出漏洞
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司 GhostXpSp3 电脑城装机版 2022年3月 ISO镜像高速下载
- 2深度技术 GHOST WIN10 X64 万能装机版 V2019.11 下载
- 3雨林木风系统 Ghost XP SP3 中秋特别 装机版 YN2020年9月 ISO镜像高速下载
- 4中关村 GHOST WIN7 32位 SP1标准旗舰版免费下载 V2022
- 5萝卜家园 GHOST XP SP3 电脑专用版 V2016.08 下载
- 6萝卜家园 GHOST WIN7 SP1 X64 欢度元旦版 V2018.01 (64位) 下载
- 7新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2021年12月(32位) ISO镜像高速下载
- 8笔记本&台式机专用系统GhostWin7 64位元旦特别 旗舰版2020年1月(64位) 高速下载
- 9Win10 64位企业版ltsc下载_Win10 64位企业版ltsc(稳定免激活)下载
- 10深度技术 GHOST WIN10 32位极速优化版 V2020.12 下载