DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Purple Fox Rootkit có khả năng tự lây lan sang các máy tính Windows
Purple Fox, một phần mềm độc hại trên Windows, lây nhiễm các máy tính bằng cách sử dụng bộ công cụ khai thác và email lừa đảo, hiện đã thêm một kỹ thuật mới để có thể tự lây lan giống như sâu máy tính.
Chiến dịch đang diễn ra sử dụng "kỹ thuật phát tán mới thông qua quét cổng ngẫu nhiên và khai thác các dịch vụ SMB bị lộ với mật khẩu và mã băm yếu". Theo các nhà nghiên cứu của Guardicore, các cuộc tấn công đã tăng khoảng 600% kể từ tháng 5/2020, tổng cộng 90.000 nỗ lực tấn công đã được phát hiện.
Lần đầu được phát hiện vào tháng 3/2018, Purple Fox phát tán dưới dạng mã độc có phần mở rộng ".msi" được lưu trữ trên gần 2.000 máy chủ Windows bị xâm phạm. Mã độc lần lượt tải xuống và thực thi một thành phần có khả năng của rootkit, cho phép kẻ tấn công ẩn phần mềm độc hại trên máy tính và tránh bị phát hiện.
Theo Guardicore, Purple Fox không thay đổi nhiều sau khi khai thác thành công mục tiêu, nhưng trang bị thêm khả năng tự lây lan của sâu máy tính, cho phép lây lan nhanh hơn.
Purple Fox đạt được điều này bằng cách đột nhập vào máy nạn nhân thông qua một dịch vụ tồn tại lỗ hổng hoặc đã bị lộ trước đó, như giao thức SMB, tận dụng lỗ hổng để thiết lập sự tồn tại dai dẳng, kéo mã độc từ mạng máy chủ Windows và lén lút cài đặt rootkit trên máy chủ.
Sau khi lây nhiễm thành công một máy tính, phần mềm độc hại sẽ chặn nhiều cổng (445, 139 và 135) nhằm "ngăn máy bị tái nhiễm và bị khai thác bởi một tác nhân đe dọa khác".
Trong giai đoạn tiếp theo, Purple Fox lây lan bằng cách quét các dải địa chỉ IP trên cổng 445, rò quét để tìm ra các thiết bị dễ bị tấn công trên Internet với mật khẩu yếu và buộc chúng trở thành một phần của mạng botnet.
Mặc dù mạng botnet thường được triển khai bởi kẻ tấn công để khởi động các cuộc tấn công từ chối dịch vụ nhắm vào các trang web hoặc các dịch vụ mạng, chúng cũng có thể được sử dụng để phát tán các loại phần mềm độc hại, bao gồm cả ransomware. Tuy nhiên, trong trường hợp này, không rõ mục đích cụ thể của kẻ tấn công là gì.
Thông thường, cách thức lây nhiễm mới là một dấu hiệu khác cho thấy kẻ tấn công liên tục trang bị lại cơ chế phân phối phần mềm độc hại để tạo ra một mạng lưới rộng khắp và xâm nhập càng nhiều máy càng tốt.
Chiến dịch đang diễn ra sử dụng "kỹ thuật phát tán mới thông qua quét cổng ngẫu nhiên và khai thác các dịch vụ SMB bị lộ với mật khẩu và mã băm yếu". Theo các nhà nghiên cứu của Guardicore, các cuộc tấn công đã tăng khoảng 600% kể từ tháng 5/2020, tổng cộng 90.000 nỗ lực tấn công đã được phát hiện.
Lần đầu được phát hiện vào tháng 3/2018, Purple Fox phát tán dưới dạng mã độc có phần mở rộng ".msi" được lưu trữ trên gần 2.000 máy chủ Windows bị xâm phạm. Mã độc lần lượt tải xuống và thực thi một thành phần có khả năng của rootkit, cho phép kẻ tấn công ẩn phần mềm độc hại trên máy tính và tránh bị phát hiện.
Theo Guardicore, Purple Fox không thay đổi nhiều sau khi khai thác thành công mục tiêu, nhưng trang bị thêm khả năng tự lây lan của sâu máy tính, cho phép lây lan nhanh hơn.
Purple Fox đạt được điều này bằng cách đột nhập vào máy nạn nhân thông qua một dịch vụ tồn tại lỗ hổng hoặc đã bị lộ trước đó, như giao thức SMB, tận dụng lỗ hổng để thiết lập sự tồn tại dai dẳng, kéo mã độc từ mạng máy chủ Windows và lén lút cài đặt rootkit trên máy chủ.
Sau khi lây nhiễm thành công một máy tính, phần mềm độc hại sẽ chặn nhiều cổng (445, 139 và 135) nhằm "ngăn máy bị tái nhiễm và bị khai thác bởi một tác nhân đe dọa khác".
Trong giai đoạn tiếp theo, Purple Fox lây lan bằng cách quét các dải địa chỉ IP trên cổng 445, rò quét để tìm ra các thiết bị dễ bị tấn công trên Internet với mật khẩu yếu và buộc chúng trở thành một phần của mạng botnet.
Mặc dù mạng botnet thường được triển khai bởi kẻ tấn công để khởi động các cuộc tấn công từ chối dịch vụ nhắm vào các trang web hoặc các dịch vụ mạng, chúng cũng có thể được sử dụng để phát tán các loại phần mềm độc hại, bao gồm cả ransomware. Tuy nhiên, trong trường hợp này, không rõ mục đích cụ thể của kẻ tấn công là gì.
Thông thường, cách thức lây nhiễm mới là một dấu hiệu khác cho thấy kẻ tấn công liên tục trang bị lại cơ chế phân phối phần mềm độc hại để tạo ra một mạng lưới rộng khắp và xâm nhập càng nhiều máy càng tốt.
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: