恶意软件正大肆攻击Windows设备

据Guardicore全球传感器网络(GGSN)收集到的遥测数据显示，从去年年底开始，这款恶意软件已经能够执行主动端口扫描和自动攻击尝试了。Purple Fox执行联网设备扫描并发现了暴露在外网中的Windows设备之后，它会使用新添加的蠕虫模块并利用SMB密码爆破攻击来实施感染。

根据Guardicore实验室的报告，到目前为止，Purple Fox已经在一个大规模僵尸网络上部署了恶意软件删除程序和额外的模块，而这个僵尸网络总共由近2000台受到攻击的服务器组成。

这个僵尸网络中的设备包括运行IIS 7.5和Microsoft FTP的Windows Server计算机，以及运行Microsoft RPC、Microsoft Server SQL Server 2008 R2和Microsoft HTTPAPI httpd 2.0的服务器，以及Microsoft Terminal Service。

虽然Purple Fox新增的这种类似蠕虫的行为允许它利用暴露在外网中Windows设备的SMB服务来对目标设备进行攻击，从而实现服务器感染，但它同时也在利用网络钓鱼活动和Web浏览器漏洞来部署其攻击Payload，这样也可以有效提升攻击的成功率。

Guardicore实验室安全研究人员Amit Serper和Ophir Harpaz说到：“在整个研究过程中，我们观察到了Purple Fox的一个基础设施似乎是由大量易受攻击的服务器所组成的，这些服务器托管着恶意软件的初始Payload，而所有被感染的设备都成为了整个僵尸网络或与其他恶意软件活动有关的服务器基础设施中的其中一个节点。”启动受感染的设备并获得持久化感染之前，Purple Fox还会安装一个Rootkit模块，该模块将使用开源的Rootkit来隐藏在受感染系统上创建的已删除文件和文件夹或Windows注册表项。

在部署Rootkit并重新启动设备后，恶意软件将重命名其DLL Payload以匹配Windows系统DLL，并将其配置为在系统启动时启动。

一旦恶意软件在系统启动时被执行，每个被感染的系统随后都会表现出类似蠕虫的行为，它们不断扫描互联网寻找其他目标，然后试图攻击它们并将它们添加到僵尸网络中。

Guardicore实验室的安全人员总结称：“当目标设备响应了通过端口445发送的SMB探测消息之后，它将会尝试通过爆破用户名和密码或尝试建立空会话的方式进行SMB认证。如果身份验证成功，恶意软件将会创

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!