据报道,“紫狐狸(Purple Fox)”木马在去年至少感染了3万名计算机用户。作为一种下载型木马,“紫狐狸”具备下载其他恶意软件,此前就曾被用来下载并执行加密货币挖矿恶意软件。
新版本“紫狐狸”更具感染性
网络安全公司趋势科技(Trend Micro)于近日发文称,他们再次发现了“紫狐狸”的一个新变种,虽然依旧借助Rig漏洞利用工具包传播,但却多了一些新花样。
趋势科技表示,新版本的“紫狐狸”能够滥用公开可用的代码来保留其Rootkit组件,并且不再使用Nullsoft Scriptable InstallSystem(NSIS)工具来检索和执行其有效载荷,而是使用PowerShell脚本,这使得它能够进行无文件感染。
此外,新版本的“紫狐狸”还新增了额外的漏洞利用代码。趋势科技认为,这很有可能是一种备用感染方案,以提高感染的成功率。
新版本“紫狐狸”感染链详解
趋势科技表示,只要用户访问了由攻击者部署的托管有Rig漏洞利用工具包的恶意网站,他们就有三种方法来将用户重定向到一个恶意PowerShell脚本:
1.包含CVE-2018-15982漏洞利用代码的Flash(.swf)文件;
2.一个包含CVE-2014-6332(一个存在于IE浏览器VBScript引擎中的漏洞)漏洞利用代码的.htm文件;
3.指向一个.hta文件的.htm文件,包含CVE-2018-8174(一个存在于VBScript引擎中的远程代码执行漏洞)漏洞利用代码。
如果受感染计算机的当前用户帐户具有管理访问权限,恶意PowerShell脚本则将伪装成一个图片(.jpg)文件,通过滥用msi.dll(一个能够安装.msi软件包的动态链接库DLL)的API接口来安装并执行“紫狐狸”的主组件。
如果当前用户帐户没有管理访问权限,恶意PowerShell脚本则将滥用PowerSploit模块(通常由渗透测试人员使用),从而利用两个漏洞:CVE-2015-1701和CVE-2018-8120。
一旦漏洞利用成功,恶意PowerShell脚本将获得更高的权限,使得它可以滥用msiec .exe(可通过命令行安装或修改.msi文件)来下载并执行“紫狐狸”的主组件。
如何释放有效载荷和Rootkit组件
趋势科技表示,早期版本的“紫狐狸”使用了msi.dll的MsiInstallProductA 函数来下载并执行其有效载荷——一个.msi文件,其中包含加密的shellcode以及32位和64位版本的有效载荷。
一旦执行,它将重新启动计算机并使用PendingFileRenameOperations注册表(负责存储操作系统重新启动时将重命名的文件的名称)以重命名其组件。
在重新启动计算机后,它将使用其Rootkit功能(隐藏其文件和注册表项)创建一个挂起的svchost进程并注入一个DLL,然后创建一个具有Rootkit功能的驱动程序。
在执行有效载荷之前,它还会在注入的DLL中设置以下内容:驱动程序文件(dump_ {random hex} .sys)——负责Rootkit功能,主组件是一个DLL文件(Ms {random hex} App.dll)。
然而,与早期版本不同,新版本“紫狐狸”选择了使用开源代码来启用其Rootkit组件,包括隐藏并保护其文件和注册表项。同样值得注意的是,新版本“紫狐狸”还会使用一个文件实用程序软件来隐藏其DLL组件,这阻止了逆向工程或破解尝试。
结论
从本质上讲,“紫狐狸”属于一种下载型木马,能够在感染目标计算机后下载其他恶意软件,如加密货币挖矿恶意软件。用户一旦被感染,就将面临各种各样的威胁。
新版本的“紫狐狸”更具感染性,借助恶意PowerShell脚本,它实现了无文件感染。此外,它还新增了额外的漏洞利用代码,包括一个在五年前就已经被修复的漏洞,这就凸显出及时安装安全补丁是何其重要,特别是对于企业而言。
