Purple Fox Rootkit se propaga como um worm visando máquinas Windows

Purple Fox Rootkit se propaga como um worm visando máquinas Windows. O malware Purple Fox inclui um rootkit que permite aos agentes da ameaça ocultar o malware na máquina e dificultar sua detecção e remoção.

Até recentemente, os operadores do Purple Fox infectavam máquinas usando kits de exploração e e-mails de phishing. Guardicore Labs identificou um novo vetor de infecção desse malware, em que máquinas Windows voltadas para a Internet estão sendo violadas por meio de força bruta de senha SMB. O Guardicore Labs também identificou a vasta rede de servidores comprometidos da Purple Fox hospedando seu dropper e payloads. Esses servidores parecem estar comprometidos com os servidores Microsoft IIS 7.5.

Até recentemente, os operadores do Purple Fox infectavam máquinas usando kits de exploração e e-mails de phishing.

Durante as últimas semanas, a equipe do Guardicore Labs rastreou uma nova campanha de distribuição do malware Purple Fox. O Purple Fox foi descoberto em março de 2018 e foi coberto como um kit de exploração voltado para computadores com Internet Explorer e Windows com várias explorações de escalonamento de privilégios.

No entanto, ao longo do final de 2020 e início de 2021, Guardicore Global Sensors Network (GGSN) detectou a nova técnica de propagação do Purple Fox por meio de varredura indiscriminada de portas e exploração de serviços SMB expostos com senhas fracas e hashes.

Aproveitando os recursos do GGSN, a Guardicore foi capazes de rastrear a propagação do Purple Fox. Como pode ser visto no gráfico acima, maio de 2020 trouxe uma quantidade significativa de atividades maliciosas e o número de infecções que observamos aumentou cerca de 600% e atingiu um total de 90.000 ataques no momento da redação deste artigo.

Embora pareça que a funcionalidade do Purple Fox não mudou muito após a exploração, seus métodos de propagação e distribuição – e seu comportamento semelhante a um worm – são muito diferentes dos descritos em artigos publicados anteriormente. Ao longo da pesquisa, foi observado uma infraestrutura que parece ser feita de uma miscelânea de servidores vulneráveis ​​e explorados que hospedam a carga inicial do malware, máquinas infectadas que estão servindo como nós dessas campanhas de infecção constante e infraestrutura de servidor que parece estar relacionado a outras campanhas de malware.

Na postagem do blog da Guardicore, foi detalhado as descobertas sobre a nova atividade do worm e compartilharemos os IOCs.

Análise de Ataque

Os invasores estão hospedando vários pacotes MSI em quase 2.000 servidores (consulte a seção IOCs), que, em na avaliação dos pesquisadores, são máquinas comprometidas que foram reaproveitadas para hospedar cargas maliciosas. A suposição é baseada na varredura de vários servidores, observando os serviços hospedados neles na perspectiva das versões do sistema operacional e das versões do servidor.

Foi estabelecido que a grande maioria dos servidores, que atendem à carga inicial, são executados em versões relativamente antigas do Windows Server que executam o IIS versão 7.5 e o FTP da Microsoft, que são conhecidos por terem várias vulnerabilidades com vários níveis de gravidade.

De acordo com as descobertas, existem várias maneiras da campanha começar a se espalhar:

  1. A carga útil do worm for executada depois que a máquina da vítima é comprometida por meio de um serviço vulnerável exposto (como SMB).
  2. A carga do worm for enviada por e-mail por meio de uma campanha de phishing (que pode vincular as descobertas publicadas anteriormente sobre o Purple Fox) que explora uma vulnerabilidade do navegador. Foi identificada várias amostras que foram enviadas ao VirusTotal por meio de verificadores de e-mail.

Uma vez que a execução do código é alcançada na máquina vítima, um novo serviço cujo nome corresponde ao regex AC0 [0-9] {1} – por exemplo, AC01, AC02, AC05, etc. será criado, o objetivo deste serviço seria estabelecer persistência e para executar um comando simples com um ‘for loop’, o objetivo deste comando seria iterar através de uma série de URLs que contêm o MSI que instala o Purple Fox na máquina.

Como pode ser visto na captura de tela da plataforma Guardicore Centra, msiexec será executado com o sinalizador / i, a fim de baixar e instalar o pacote MSI malicioso de um dos hosts na instrução. Ele também será executado com o sinalizador / Q para execução “silenciosa”, ou seja, nenhuma interação do usuário será necessária.

Assim que o pacote for executado, o instalador MSI será iniciado.

Para fins de análise, os pesquisadores executaram o instalador MSI sem o sinalizador / Q (como se estivesse sendo executado diretamente de um anexo de e-mail), o instalador apresentou a seguinte janela:

O instalador finge ser um pacote do Windows Update junto com um texto em chinês que se traduz aproximadamente em “Windows Update” e letras aleatórias. Essas letras são geradas aleatoriamente entre cada instalador MSI diferente para criar um hash diferente e dificultar um pouco a vinculação entre versões diferentes do mesmo MSI. Esta é uma maneira “barata” e simples de escapar de vários métodos de detecção, como assinaturas estáticas. Além disso, foi identificado pacotes MSI com as mesmas strings, mas com bytes nulos aleatórios anexados a eles para criar hashes diferentes do mesmo arquivo.

No entanto, os pesquisadores conseguiram encontrar muitas versões diferentes do mesmo MSI e suas cargas úteis, como pode ser visto na captura de tela a seguir do gráfico VT.

Conforme a instalação progride, o instalador extrairá as cargas úteis e as descriptografará de dentro do pacote MSI. O pacote MSI contém três arquivos:

  1. Uma carga útil DLL de 64 bits ( winupdate64 ).
  2. Uma carga útil DLL de 32 bits ( winupdate32 ).
  3. Um arquivo criptografado contendo um rootkit.

Como parte do processo de instalação, o malware modifica o firewall do Windows executando vários comandos netsh . O malware adiciona uma nova política chamada Qianye ao firewall do Windows Sob esta política, ele cria um novo filtro chamado Filter1 e, sob este filtro, proíbe as portas 445, 139, 135 em TCP e UDP de qualquer endereço IP na Internet (0.0.0.0) para se conectar à máquina infectada que os invasores estão fazendo isso para evitar que a máquina infectada seja infectada novamente e / ou explorada por um agente de ameaça diferente.

Uma vez extraídos os referidos arquivos, eles serão executados.

Isso pode ser visto quando o malware está executando os seguintes comandos:

netsh.exe ipsec static add policy name=qianye
netsh.exe ipsec static add filterlist name=Filter1
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh.exe ipsec static set policy name=qianye assign=y
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 netsh.exe ipsec static add filteraction name=FilteraAtion1 action=block

Além disso, o malware instalará uma interface IPv6 na máquina executando o comando:

netsh.exe interface ipv6 install

Essa ação é executada para permitir que o malware faça a varredura de portas em endereços ipv6 e também para maximizar a eficiência da propagação de sub-redes ipv6 (geralmente não monitoradas).

Nota importante :

Esses comandos podem ser usados ​​como Indicadores de Comportamento (IoBs) para verificar se o seu ambiente está comprometido.

Além disso, esses comandos netsh também apareceram em campanhas anteriores e não são exclusivos desta iteração do Fox Roxo. Esses comandos, especificamente com o nome da política Qianye, foram documentados como parte do Rig EK e do NuggetPhantom .

A última etapa da implantação do Purple Fox antes de reiniciar a máquina é carregar o rootkit que está escondido dentro da carga criptografada no pacote MSI.

De acordo com a análise, o rootkit é baseado no projeto de rootkit de código aberto oculto .

O objetivo deste rootkit é ocultar várias chaves e valores de registro, arquivos, etc., conforme detalhado por seu autor no repositório git. Ironicamente, o rootkit oculto foi desenvolvido por um pesquisador de segurança para realizar várias tarefas de análise de malware e manter todas essas tarefas de pesquisa ocultas do malware.

Este rootkit e seu relacionamento com a Purple Fox foram detalhados neste artigo pela 360 Security.

Assim que o rootkit for carregado, o instalador reiniciará a máquina para renomear a DLL do malware em um arquivo DLL do sistema que será executado na inicialização. Como os pesquisadores executaram o malware em laboratório sem o sinalizador / Q , foi apresentada a seguinte janela que nos pede para reiniciar a máquina:

Assim que a máquina for reiniciada, o malware também será executado. Após sua execução, o malware iniciará seu processo de propagação: o malware irá gerar intervalos de IP e começar a digitalizá-los na porta 445.

Conforme a máquina responde ao teste SMB que está sendo enviado na porta 445, ela tentará se autenticar no SMB por força bruta de nomes de usuário e senhas ou tentando estabelecer uma sessão nula.

Se a autenticação for bem-sucedida, o malware criará um serviço cujo nome corresponde ao regex AC0 [0-9] {1} – por exemplo, AC01, AC02, AC05 (como mencionado antes) que fará o download do pacote de instalação MSI de um dos muitos Servidores HTTP e, portanto, completará o ciclo de infecção.

Fonte: Guardicore

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Mensagem secreta ou invasão do Comando Estratégico dos EUA?
  2. FBI e CISA alertam sobre APT explorando falha no Fortinet
  3. Ransomware do Exchange tem atividade 'limitada' até agora
  4. Hackers éticos ganharam milhões em programas em recompensa

Deixe sua opinião!