Purple Fox Rootkit se propaga como um worm visando máquinas Windows

Purple Fox Rootkit se propaga como um worm visando máquinas Windows. O malware Purple Fox inclui um rootkit que permite aos agentes da ameaça ocultar o malware na máquina e dificultar sua detecção e remoção.

Até recentemente, os operadores do Purple Fox infectavam máquinas usando kits de exploração e e-mails de phishing. Guardicore Labs identificou um novo vetor de infecção desse malware, em que máquinas Windows voltadas para a Internet estão sendo violadas por meio de força bruta de senha SMB. O Guardicore Labs também identificou a vasta rede de servidores comprometidos da Purple Fox hospedando seu dropper e payloads. Esses servidores parecem estar comprometidos com os servidores Microsoft IIS 7.5.

Até recentemente, os operadores do Purple Fox infectavam máquinas usando kits de exploração e e-mails de phishing.

Durante as últimas semanas, a equipe do Guardicore Labs rastreou uma nova campanha de distribuição do malware Purple Fox. O Purple Fox foi descoberto em março de 2018 e foi coberto como um kit de exploração voltado para computadores com Internet Explorer e Windows com várias explorações de escalonamento de privilégios.

No entanto, ao longo do final de 2020 e início de 2021, Guardicore Global Sensors Network (GGSN) detectou a nova técnica de propagação do Purple Fox por meio de varredura indiscriminada de portas e exploração de serviços SMB expostos com senhas fracas e hashes.

Aproveitando os recursos do GGSN, a Guardicore foi capazes de rastrear a propagação do Purple Fox. Como pode ser visto no gráfico acima, maio de 2020 trouxe uma quantidade significativa de atividades maliciosas e o número de infecções que observamos aumentou cerca de 600% e atingiu um total de 90.000 ataques no momento da redação deste artigo.

Embora pareça que a funcionalidade do Purple Fox não mudou muito após a exploração, seus métodos de propagação e distribuição – e seu comportamento semelhante a um worm – são muito diferentes dos descritos em artigos publicados anteriormente. Ao longo da pesquisa, foi observado uma infraestrutura que parece ser feita de uma miscelânea de servidores vulneráveis e explorados que hospedam a carga inicial do malware, máquinas infectadas que estão servindo como nós dessas campanhas de infecção constante e infraestrutura de servidor que parece estar relacionado a outras campanhas de malware.

Na postagem do blog da Guardicore, foi detalhado as descobertas sobre a nova atividade do worm e compartilharemos os IOCs.

Análise de Ataque

Os invasores estão hospedando vários pacotes MSI em quase 2.000 servidores (consulte a seção IOCs), que, em na avaliação dos pesquisadores, são máquinas comprometidas que foram reaproveitadas para hospedar cargas maliciosas. A suposição é baseada na varredura de vários servidores, observando os serviços hospedados neles na perspectiva das versões do sistema operacional e das versões do servidor.

Foi estabelecido que a grande maioria dos servidores, que atendem à carga inicial, são executados em versões relativamente antigas do Windows Server que executam o IIS versão 7.5 e o FTP da Microsoft, que são conhecidos por terem várias vulnerabilidades com vários níveis de gravidade.

De acordo com as descobertas, existem várias maneiras da campanha começar a se espalhar:

A carga útil do worm for executada depois que a máquina da vítima é comprometida por meio de um serviço vulnerável exposto (como SMB).
A carga do worm for enviada por e-mail por meio de uma campanha de phishing (que pode vincular as descobertas publicadas anteriormente sobre o Purple Fox) que explora uma vulnerabilidade do navegador. Foi identificada várias amostras que foram enviadas ao VirusTotal por meio de verificadores de e-mail.

Uma vez que a execução do código é alcançada na máquina vítima, um novo serviço cujo nome corresponde ao regex AC0 [0-9] {1} – por exemplo, AC01, AC02, AC05, etc. será criado, o objetivo deste serviço seria estabelecer persistência e para executar um comando simples com um ‘for loop’, o objetivo deste comando seria iterar através de uma série de URLs que contêm o MSI que instala o Purple Fox na máquina.

Como pode ser visto na captura de tela da plataforma Guardicore Centra, msiexec será executado com o sinalizador / i, a fim de baixar e instalar o pacote MSI malicioso de um dos hosts na instrução. Ele também será executado com o sinalizador / Q para execução “silenciosa”, ou seja, nenhuma interação do usuário será necessária.

Assim que o pacote for executado, o instalador MSI será iniciado.

Para fins de análise, os pesquisadores executaram o instalador MSI sem o sinalizador / Q (como se estivesse sendo executado diretamente de um anexo de e-mail), o instalador apresentou a seguinte janela:

O instalador finge ser um pacote do Windows Update junto com um texto em chinês que se traduz aproximadamente em “Windows Update” e letras aleatórias. Essas letras são geradas aleatoriamente entre cada instalador MSI diferente para criar um hash diferente e dificultar um pouco a vinculação entre versões diferentes do mesmo MSI. Esta é uma maneira “barata” e simples de escapar de vários métodos de detecção, como assinaturas estáticas. Além disso, foi identificado pacotes MSI com as mesmas strings, mas com bytes nulos aleatórios anexados a eles para criar hashes diferentes do mesmo arquivo.

No entanto, os pesquisadores conseguiram encontrar muitas versões diferentes do mesmo MSI e suas cargas úteis, como pode ser visto na captura de tela a seguir do gráfico VT.

Conforme a instalação progride, o instalador extrairá as cargas úteis e as descriptografará de dentro do pacote MSI. O pacote MSI contém três arquivos:

Uma carga útil DLL de 64 bits ( winupdate64 ).
Uma carga útil DLL de 32 bits ( winupdate32 ).
Um arquivo criptografado contendo um rootkit.

Como parte do processo de instalação, o malware modifica o firewall do Windows executando vários comandos netsh . O malware adiciona uma nova política chamada Qianye ao firewall do Windows . Sob esta política, ele cria um novo filtro chamado Filter1 e, sob este filtro, proíbe as portas 445, 139, 135 em TCP e UDP de qualquer endereço IP na Internet (0.0.0.0) para se conectar à máquina infectada que os invasores estão fazendo isso para evitar que a máquina infectada seja infectada novamente e / ou explorada por um agente de ameaça diferente.

Uma vez extraídos os referidos arquivos, eles serão executados.

Isso pode ser visto quando o malware está executando os seguintes comandos:

netsh.exe ipsec static add policy name=qianye

netsh.exe ipsec static add filterlist name=Filter1

netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP

netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP

netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP

netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP

netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP

netsh.exe ipsec static set policy name=qianye assign=y

netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1

netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 netsh.exe ipsec static add filteraction name=FilteraAtion1 action=block

Além disso, o malware instalará uma interface IPv6 na máquina executando o comando:

netsh.exe interface ipv6 install

Essa ação é executada para permitir que o malware faça a varredura de portas em endereços ipv6 e também para maximizar a eficiência da propagação de sub-redes ipv6 (geralmente não monitoradas).

Nota importante :

Esses comandos podem ser usados como Indicadores de Comportamento (IoBs) para verificar se o seu ambiente está comprometido.

Além disso, esses comandos netsh também apareceram em campanhas anteriores e não são exclusivos desta iteração do Fox Roxo. Esses comandos, especificamente com o nome da política Qianye, foram documentados como parte do Rig EK e do NuggetPhantom .

A última etapa da implantação do Purple Fox antes de reiniciar a máquina é carregar o rootkit que está escondido dentro da carga criptografada no pacote MSI.

De acordo com a análise, o rootkit é baseado no projeto de rootkit de código aberto oculto .

O objetivo deste rootkit é ocultar várias chaves e valores de registro, arquivos, etc., conforme detalhado por seu autor no repositório git. Ironicamente, o rootkit oculto foi desenvolvido por um pesquisador de segurança para realizar várias tarefas de análise de malware e manter todas essas tarefas de pesquisa ocultas do malware.

Este rootkit e seu relacionamento com a Purple Fox foram detalhados neste artigo pela 360 Security.

Assim que o rootkit for carregado, o instalador reiniciará a máquina para renomear a DLL do malware em um arquivo DLL do sistema que será executado na inicialização. Como os pesquisadores executaram o malware em laboratório sem o sinalizador / Q , foi apresentada a seguinte janela que nos pede para reiniciar a máquina:

Assim que a máquina for reiniciada, o malware também será executado. Após sua execução, o malware iniciará seu processo de propagação: o malware irá gerar intervalos de IP e começar a digitalizá-los na porta 445.

Conforme a máquina responde ao teste SMB que está sendo enviado na porta 445, ela tentará se autenticar no SMB por força bruta de nomes de usuário e senhas ou tentando estabelecer uma sessão nula.

Se a autenticação for bem-sucedida, o malware criará um serviço cujo nome corresponde ao regex AC0 [0-9] {1} – por exemplo, AC01, AC02, AC05 (como mencionado antes) que fará o download do pacote de instalação MSI de um dos muitos Servidores HTTP e, portanto, completará o ciclo de infecção.

Fonte: Guardicore