2018年,，Purple Fox（紫狐）在野感染超過 30000 臺計算機后被首次發(fā)現(xiàn),。Purple Fox通過漏洞利用和釣魚郵件進行傳播分發(fā)，自身還充當(dāng)其他惡意軟件的 Downloader,。

　　3月23日,，據(jù)外媒報道，安全研究人員發(fā)現(xiàn)Purple Fox增加了蠕蟲傳播模塊,，通過掃描,、攻擊聯(lián)網(wǎng)的 Windows 系統(tǒng)進行感染傳播。與此同時,，更新的Purple Fox還帶有Rootkit和后門功能。Purple Fox針對Windows系統(tǒng)進行漏洞利用套件的開發(fā),，在利用內(nèi)存破壞和權(quán)限提升漏洞后,，通過Web瀏覽器感染W(wǎng)indows用戶。

　　Guardicore Labs的安全研究員Amit Serper和Ophir Harpaz表示：從 2020 年 5 月開始,，Purple Fox的攻擊快速攀升,。到目前為止，累計超過了90000 次,，感染量增長了600%,。

　　Windows 設(shè)備面臨極大風(fēng)險

　　Guardicore 利用全球遙測網(wǎng)絡(luò)對威脅進行監(jiān)控，Purple Fox從去年年底開始表現(xiàn)出端口掃描和漏洞利用嘗試的行為,。掃描發(fā)現(xiàn)聯(lián)網(wǎng)的Windows設(shè)備后,，Purple Fox利用蠕蟲模塊試圖通過SMB爆破入侵系統(tǒng)。

　　根據(jù) Guardicore Labs 的分析報告,，Purple Fox 已經(jīng)組建了近 2000 臺規(guī)模的僵尸網(wǎng)絡(luò),。

　　實現(xiàn)主機中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服務(wù)器以及運行 Microsoft RPC、Microsoft Server SQL Server 2008 R2,、Microsoft HTTPAPI httpd 2.0 等服務(wù)的服務(wù)器,，這些服務(wù)都存在不同程度的漏洞。

　　Purple Fox的蠕蟲模塊會攻擊公網(wǎng)暴露的SMB服務(wù)來進行入侵,，不僅如此,，Purple Fox還會利用網(wǎng)絡(luò)釣魚和Web瀏覽器漏洞來進行投遞和傳播。

　　研究發(fā)現(xiàn),，失陷主機同時會被作為部署惡意Payload的服務(wù)器進行惡意軟件的傳播,。

　　Rootkit模塊進行持久化

　　Purple Fox在失陷主機上部署Rootkit模塊進行持久化,，該Rootkit模塊使用了開源項目 hidden。

　　Purple Fox會借此隱藏注冊表項與文件,。諷刺的是hidden這個項目是安全研究人員開發(fā),，為了在執(zhí)行各種惡意軟件分析任務(wù)時使某些文件對惡意軟件不可見。

　　重新啟動設(shè)備后,，Purple Fox將惡意 DLL重命名為將在系統(tǒng)啟動時要執(zhí)行的DLL文件,。

　　系統(tǒng)感染后會表現(xiàn)出明顯的蠕蟲行為，不斷地進行SMB掃描,。

　　一旦身份驗證成功,，Purple Fox將會創(chuàng)建與正則表達式（AC0[0-9]{1}）相匹配的服務(wù)名，例如 AC01,、AC02,、AC05。該服務(wù)會從HTTP服務(wù)器下載MSI安裝包啟動感染,。

　　詳細的IOC指標可在 GitHub中查看,，包括Purple Fox 的MSI文件投遞站點和 C&C 服務(wù)器。

　　IOC（C&C）

　　rpc.1qw.us

　　57.167.200.174

　　120.253.201.237

　　65.222.221.216

　　65.113.192.79

　　77.236.130.107

　　180.68.57.112

　　95.161.197.174

　　60.174.95.143

　　115.230.127.107