‎Purple Fox Rootkit agora se propaga como um worm

Views: 150
0 0
Read Time:7 Minute, 51 Second

‎Resumo‎

  • ‎Purple Fox é uma campanha ativa de malware voltada para ‎‎as máquinas windows‎‎.‎
  • ‎Até recentemente, os operadores da Purple Fox infectaram máquinas usando kits de exploração e e-mails de phishing.‎
  • ‎O Guardicore Labs identificou ‎‎um novo vetor de infecção deste malware ‎‎onde máquinas Windows voltadas para a internet estão sendo violadas através da força bruta de senha SMB.‎
  • ‎A Guardicore Labs também identificou a vasta rede de servidores comprometidos da Purple Fox hospedando seus conta-gotas e cargas. Esses servidores parecem estar comprometidos com servidores Microsoft IIS 7.5.‎
  • ‎O malware Purple Fox inclui um ‎‎rootkit‎‎ que permite que os atores de ameaças escondam o malware na máquina e dificultem a detecção e remoção.‎

‎Introdução‎

‎Durante as últimas semanas, a equipe da Guardicore Labs tem acompanhado uma nova campanha distribuindo o malware Purple Fox. Purple Fox foi descoberto em março de 2018 e foi coberto como um kit de exploração direcionado ao Internet Explorer e máquinas Windows com várias explorações de escalada de privilégios.‎

‎No entanto, ao longo do final de 2020 e início de 2021, a Guardicore Global Sensors Network (GGSN) detectou a nova técnica de disseminação da Purple Fox através de varredura e exploração de portas indiscriminadas de serviços SMB expostos com senhas fracas e hashes.‎

‎Aproveitando as capacidades do GGSN, fomos capazes de rastrear a propagação da Purple Fox. Como pode ser visto no gráfico acima, maio de 2020 trouxe uma quantidade significativa de atividade maliciosa e o número de infecções que observamos aumentou cerca de 600% e totalizou um total de 90.000 ataques a partir da redação deste artigo. Embora pareça que a funcionalidade da Purple Fox não mudou muito ‎‎a exploração pós-exploração‎‎, seus métodos de disseminação e distribuição – e seu comportamento semelhante a vermes – são muito diferentes do descrito em artigos publicados anteriormente. ‎

‎ ‎

‎ Ao longo de nossa pesquisa, observamos uma infraestrutura que parece ser feita a partir de um hodge-podge de servidores vulneráveis e explorados hospedando a carga inicial do malware, máquinas infectadas que estão servindo como nós dessas campanhas de worming constantemente e infraestrutura de servidor que parece estar relacionada a outras campanhas de malware.‎

‎Neste post no blog vamos detalhar nossas descobertas sobre a nova atividade de worm e compartilhar IOCs.‎

‎Análise de ataque‎

‎Os invasores estão hospedando vários pacotes MSI em quase 2.000 servidores (ver seção IOCs), que para nossa avaliação são máquinas comprometidas que foram reaproveitadas para hospedar cargas maliciosas. Nossa suposição é baseada na digitalização de vários servidores, olhando para os serviços que estão hospedados neles a partir da perspectiva das versões do sistema operacional e das versões do servidor.‎

‎Estabelecemos que a grande maioria dos servidores, que estão servindo a carga inicial, estão sendo executados em versões relativamente antigas do Windows Server executando a versão IIS 7.5 e o Microsoft FTP, que são conhecidos por ter várias vulnerabilidades com diferentes níveis de gravidade.‎

‎De acordo com nossas descobertas, há várias maneiras de esta campanha começar a se espalhar:‎

  1. ‎A carga de vermes está sendo executada depois que uma máquina da vítima é comprometida através de um serviço exposto vulnerável (como SMB).‎
  2. ‎A carga de worm está sendo enviada por e-mail através de uma campanha de phishing (que poderia vincular as descobertas publicadas anteriormente sobre a Purple Fox) que explora uma vulnerabilidade do navegador. Identificamos várias amostras que foram submetidas ao VirusTotal através de scanners de e-mail.‎

‎Uma vez que a execução do código é alcançada na máquina da vítima, um novo serviço cujo nome corresponde ao regex AC0[0-9]{1} — por exemplo, AC01, AC02, AC05, etc. será criado, o objetivo deste serviço seria estabelecer persistência e executar um comando simples com um ‘para loop’, o objetivo deste comando seria iterar através de uma série de URLs que contêm o MSI que instala Purple Fox na máquina.‎

‎Como pode ser visto na captura de tela da plataforma Guardicore Centra, o ‎‎msiexec‎‎ será executado com a bandeira /i, a fim de baixar e instalar o pacote MSI malicioso de um dos hosts no comunicado. Ele também será executado com a bandeira /Q para execução “silenciosa”, o que significa que nenhuma interação do usuário será necessária.‎

‎Uma vez executado o pacote, o instalador MSI será lançado.‎

‎Para fins de análise, executamos o instalador MSI sem a bandeira ‎‎/Q ‎‎(Como se estivesse sendo executado diretamente a partir de um anexo de e-mail), o instalador apresentará a seguinte janela:‎

‎O instalador finge ser um pacote do Windows Update, juntamente com o texto chinês que se traduz aproximadamente para “Atualização do Windows” e letras aleatórias. Essas letras são geradas aleatoriamente entre cada instalador MSI diferente para criar um hash diferente e tornar um pouco difícil de amarrar entre diferentes versões do mesmo MSI. Esta é uma maneira “barata” e simples de evitar vários métodos de detecção, como assinaturas estáticas. Além disso, identificamos pacotes MSI com as mesmas strings, mas com bytes nulos aleatórios anexados a eles, a fim de criar diferentes hashes do mesmo arquivo.‎

‎No entanto, fomos capazes de encontrar muitas versões diferentes do mesmo MSI e suas cargas, como pode ser visto na captura de tela a seguir do gráfico VT.‎

‎À medida que a instalação progride, o instalador extrairá as cargas e as descriptografará de dentro do pacote MSI. O pacote MSI contém três arquivos:‎

  1. ‎Uma carga DLL de 64bits‎‎(winupdate64‎‎).‎
  2. ‎Uma carga DLL de 32bits‎‎(winupdate32‎‎).‎
  3. ‎Um arquivo criptografado contendo um rootkit.‎

‎Como parte do processo de instalação, o malware modifica o firewall do Windows executando vários comandos ‎‎netsh.‎‎ O malware adiciona uma nova política chamada ‎‎ ‎‎Qianye ‎‎ ‎‎ao firewall do Windows‎‎.‎‎ ‎‎ Sob esta política, ele cria um novo filtro chamado ‎‎Filter1 ‎‎e sob este filtro, proíbe as portas 445, 139, 135 em TCP e UDP de qualquer endereço IP na internet (0.0.0.0) para se conectar à máquina infectada, acreditamos que os atacantes estão fazendo isso a fim de evitar que a máquina infectada seja reinfectada, e/ou seja explorada por um ator de ameaças diferente.‎

‎Uma vez que os arquivos acima mencionados estão sendo extraídos, eles serão executados.‎

‎Isso pode ser visto como o malware está executando os seguintes comandos:‎

netsh.exe ipsec static add policy name=qianye
netsh.exe ipsec static add filterlist name=Filter1
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh.exe ipsec static set policy name=qianye assign=y
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 netsh.exe ipsec static add filteraction name=FilteraAtion1 action=block

‎Além disso, o malware instalará uma interface IPv6 na máquina executando o comando:‎

netsh.exe interface ipv6 install

‎Essa ação é tomada para permitir que o malware maximize os endereços ipv6 da varredura, bem como maximizar a eficiência das sub-redes ipv6 espalhadas (geralmente não monitoradas).‎

‎Nota importante:‎

‎Esses comandos podem ser usados como ‎‎Indicadores de Comportamento‎‎ (IoBs) para verificar se seu ambiente está comprometido.‎

‎Além disso, esses comandos da Netsh também apareceram em campanhas anteriores e não são exclusivos desta iteração da Raposa Roxa. Estes comandos, especificamente com o nome da política Qianye foram documentados como parte de ‎‎Rig EK‎‎ e ‎‎NuggetPhantom‎‎.‎

‎O último passo da implantação da Purple Fox antes de reiniciar a máquina é carregar o rootkit que está escondido dentro da carga criptografada no pacote MSI.‎

‎De acordo com nossa análise, o rootkit é baseado no projeto de rootkit de código aberto ‎‎ ‎‎oculto.‎‎ ‎

‎O objetivo deste rootkit é ocultar várias chaves e valores de registro, arquivos, etc., conforme detalhado por seu autor no repositório git. Ironicamente, o rootkit ‎‎oculto‎‎ foi desenvolvido por um pesquisador de segurança a fim de realizar várias tarefas de análise de malware e manter todas essas tarefas de pesquisa ‎‎escondidas‎‎ do malware.‎

‎Este rootkit e sua relação com purple fox foi detalhado ‎‎neste artigo‎‎ pela 360 Security. ‎

‎Uma vez que o rootkit seja carregado, o instalador reiniciará a máquina a fim de renomear o DLL de malware em um arquivo DLL do sistema que será executado no inicial ‎

‎inicial. Desde que executamos o malware em nosso laboratório sem a bandeira ‎‎/Q,‎‎ fomos apresentados com a seguinte janela que nos pede para reiniciar a máquina:‎

‎Uma vez que a máquina é reiniciada, o malware também será executado. Após sua execução, o malware iniciará seu processo de propagação: o malware gerará intervalos de IP e começará a digitalizar-os na porta 445.‎

‎À medida que a máquina responde ao teste SMB que está sendo enviado na porta 445, ele tentará autenticar para SMB forçando nomes de usuário e senhas ou tentando estabelecer uma sessão nula.‎

‎Se a autenticação for bem sucedida, o malware criará um serviço cujo nome corresponde ao regex AC0[0-9]{1} — por exemplo, AC01, AC02, AC05 (como mencionado anteriormente) que baixará o pacote de instalação do MSI de um dos muitos servidores HTTP e, assim, completará o loop de infecção.‎

‎Indicadores de Compromisso‎

‎IOCs estão disponíveis em nosso ‎‎repositório do GITHUB do COI‎

FONTE: GUARDICORE

Previous post ‎A Importância da Cibersegurança para o SEO‎
Next post Ataque hacker zera conta bancária de Câmara Municipal no ES; foram desviados R$ 125 mil

Deixe um comentário