安基网 首页 资讯 安全报 查看内容

新版本“紫狐狸(Purple Fox)”木马来袭,已实现无文件感染

2019-9-21 10:01| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 据报道,“紫狐狸(Purple Fox)”木马在去年至少感染了3万名计算机用户。作为一种下载型木马,“紫狐狸”具备下载其他恶意软件,此前就曾被用来下载并执行加密货币挖矿恶意软件。新版本“紫狐狸”更具感染性网络安全公司趋势科技(Trend Micro)于近日发文称,他们再次发现了“紫狐狸”的一个新变种, ...
据报道,“紫狐狸(Purple Fox)”木马在去年至少感染了3万名计算机用户。作为一种下载型木马,“紫狐狸”具备下载其他恶意软件,此前就曾被用来下载并执行加密货币挖矿恶意软件。

新版本“紫狐狸”更具感染性

网络安全公司趋势科技(Trend Micro)于近日发文称,他们再次发现了“紫狐狸”的一个新变种,虽然依旧借助Rig漏洞利用工具包传播,但却多了一些新花样。

趋势科技表示,新版本的“紫狐狸”能够滥用公开可用的代码来保留其Rootkit组件,并且不再使用Nullsoft Scriptable Install System(NSIS)工具来检索和执行其有效载荷,而是使用PowerShell脚本,这使得它能够进行无文件感染。

此外,新版本的“紫狐狸”还新增了额外的漏洞利用代码。趋势科技认为,这很有可能是一种备用感染方案,以提高感染的成功率。

图1. 新版本“紫狐狸”的感染链

新版本“紫狐狸”感染链详解

趋势科技表示,只要用户访问了由攻击者部署的托管有Rig漏洞利用工具包的恶意网站,他们就有三种方法来将用户重定向到一个恶意PowerShell脚本:

1.包含CVE-2018-15982漏洞利用代码的Flash(.swf)文件;

2.一个包含CVE-2014-6332(一个存在于IE浏览器VBScript引擎中的漏洞)漏洞利用代码的.htm文件;

3.指向一个.hta文件的.htm文件,包含CVE-2018-8174(一个存在于VBScript引擎中的远程代码执行漏洞)漏洞利用代码。

图2. .hta文件,用于将用户重定向到恶意PowerShell脚本

如果受感染计算机的当前用户帐户具有管理访问权限,恶意PowerShell脚本则将伪装成一个图片(.jpg)文件,通过滥用msi.dll(一个能够安装.msi软件包的动态链接库DLL)的API接口来安装并执行“紫狐狸”的主组件。

图3. 恶意PowerShell脚本滥用msi.dll

如果当前用户帐户没有管理访问权限,恶意PowerShell脚本则将滥用PowerSploit模块(通常由渗透测试人员使用),从而利用两个漏洞:CVE-2015-1701和CVE-2018-8120。

一旦漏洞利用成功,恶意PowerShell脚本将获得更高的权限,使得它可以滥用msiec .exe(可通过命令行安装或修改.msi文件)来下载并执行“紫狐狸”的主组件。

图4. 恶意PowerShell脚本滥用msiec .exe下载并执行“紫狐狸”的主组件

如何释放有效载荷和Rootkit组件

趋势科技表示,早期版本的“紫狐狸”使用了msi.dll的MsiInstallProductA 函数来下载并执行其有效载荷——一个.msi文件,其中包含加密的shellcode以及32位和64位版本的有效载荷。

一旦执行,它将重新启动计算机并使用PendingFileRenameOperations注册表(负责存储操作系统重新启动时将重命名的文件的名称)以重命名其组件。

在重新启动计算机后,它将使用其Rootkit功能(隐藏其文件和注册表项)创建一个挂起的svchost进程并注入一个DLL,然后创建一个具有Rootkit功能的驱动程序。

在执行有效载荷之前,它还会在注入的DLL中设置以下内容:驱动程序文件(dump_ {random hex} .sys)——负责Rootkit功能,主组件是一个DLL文件(Ms {random hex} App.dll)。

然而,与早期版本不同,新版本“紫狐狸”选择了使用开源代码来启用其Rootkit组件,包括隐藏并保护其文件和注册表项。同样值得注意的是,新版本“紫狐狸”还会使用一个文件实用程序软件来隐藏其DLL组件,这阻止了逆向工程或破解尝试。

图5.新版本“紫狐狸”用来隐藏并保护其组件和注册表项的代码

结论

从本质上讲,“紫狐狸”属于一种下载型木马,能够在感染目标计算机后下载其他恶意软件,如加密货币挖矿恶意软件。用户一旦被感染,就将面临各种各样的威胁。

新版本的“紫狐狸”更具感染性,借助恶意PowerShell脚本,它实现了无文件感染。此外,它还新增了额外的漏洞利用代码,包括一个在五年前就已经被修复的漏洞,这就凸显出及时安装安全补丁是何其重要,特别是对于企业而言。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6734970466630386189/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部