Resumo
- Purple Fox é uma campanha ativa de malware voltada para as máquinas windows.
- Até recentemente, os operadores da Purple Fox infectaram máquinas usando kits de exploração e e-mails de phishing.
- O Guardicore Labs identificou um novo vetor de infecção deste malware onde máquinas Windows voltadas para a internet estão sendo violadas através da força bruta de senha SMB.
- A Guardicore Labs também identificou a vasta rede de servidores comprometidos da Purple Fox hospedando seus conta-gotas e cargas. Esses servidores parecem estar comprometidos com servidores Microsoft IIS 7.5.
- O malware Purple Fox inclui um rootkit que permite que os atores de ameaças escondam o malware na máquina e dificultem a detecção e remoção.
Introdução
Durante as últimas semanas, a equipe da Guardicore Labs tem acompanhado uma nova campanha distribuindo o malware Purple Fox. Purple Fox foi descoberto em março de 2018 e foi coberto como um kit de exploração direcionado ao Internet Explorer e máquinas Windows com várias explorações de escalada de privilégios.
No entanto, ao longo do final de 2020 e início de 2021, a Guardicore Global Sensors Network (GGSN) detectou a nova técnica de disseminação da Purple Fox através de varredura e exploração de portas indiscriminadas de serviços SMB expostos com senhas fracas e hashes.
Aproveitando as capacidades do GGSN, fomos capazes de rastrear a propagação da Purple Fox. Como pode ser visto no gráfico acima, maio de 2020 trouxe uma quantidade significativa de atividade maliciosa e o número de infecções que observamos aumentou cerca de 600% e totalizou um total de 90.000 ataques a partir da redação deste artigo. Embora pareça que a funcionalidade da Purple Fox não mudou muito a exploração pós-exploração, seus métodos de disseminação e distribuição – e seu comportamento semelhante a vermes – são muito diferentes do descrito em artigos publicados anteriormente.
Ao longo de nossa pesquisa, observamos uma infraestrutura que parece ser feita a partir de um hodge-podge de servidores vulneráveis e explorados hospedando a carga inicial do malware, máquinas infectadas que estão servindo como nós dessas campanhas de worming constantemente e infraestrutura de servidor que parece estar relacionada a outras campanhas de malware.
Neste post no blog vamos detalhar nossas descobertas sobre a nova atividade de worm e compartilhar IOCs.
Análise de ataque
Os invasores estão hospedando vários pacotes MSI em quase 2.000 servidores (ver seção IOCs), que para nossa avaliação são máquinas comprometidas que foram reaproveitadas para hospedar cargas maliciosas. Nossa suposição é baseada na digitalização de vários servidores, olhando para os serviços que estão hospedados neles a partir da perspectiva das versões do sistema operacional e das versões do servidor.
Estabelecemos que a grande maioria dos servidores, que estão servindo a carga inicial, estão sendo executados em versões relativamente antigas do Windows Server executando a versão IIS 7.5 e o Microsoft FTP, que são conhecidos por ter várias vulnerabilidades com diferentes níveis de gravidade.
De acordo com nossas descobertas, há várias maneiras de esta campanha começar a se espalhar:
- A carga de vermes está sendo executada depois que uma máquina da vítima é comprometida através de um serviço exposto vulnerável (como SMB).
- A carga de worm está sendo enviada por e-mail através de uma campanha de phishing (que poderia vincular as descobertas publicadas anteriormente sobre a Purple Fox) que explora uma vulnerabilidade do navegador. Identificamos várias amostras que foram submetidas ao VirusTotal através de scanners de e-mail.
Uma vez que a execução do código é alcançada na máquina da vítima, um novo serviço cujo nome corresponde ao regex AC0[0-9]{1} — por exemplo, AC01, AC02, AC05, etc. será criado, o objetivo deste serviço seria estabelecer persistência e executar um comando simples com um ‘para loop’, o objetivo deste comando seria iterar através de uma série de URLs que contêm o MSI que instala Purple Fox na máquina.
Como pode ser visto na captura de tela da plataforma Guardicore Centra, o msiexec será executado com a bandeira /i, a fim de baixar e instalar o pacote MSI malicioso de um dos hosts no comunicado. Ele também será executado com a bandeira /Q para execução “silenciosa”, o que significa que nenhuma interação do usuário será necessária.
Uma vez executado o pacote, o instalador MSI será lançado.
Para fins de análise, executamos o instalador MSI sem a bandeira /Q (Como se estivesse sendo executado diretamente a partir de um anexo de e-mail), o instalador apresentará a seguinte janela:
O instalador finge ser um pacote do Windows Update, juntamente com o texto chinês que se traduz aproximadamente para “Atualização do Windows” e letras aleatórias. Essas letras são geradas aleatoriamente entre cada instalador MSI diferente para criar um hash diferente e tornar um pouco difícil de amarrar entre diferentes versões do mesmo MSI. Esta é uma maneira “barata” e simples de evitar vários métodos de detecção, como assinaturas estáticas. Além disso, identificamos pacotes MSI com as mesmas strings, mas com bytes nulos aleatórios anexados a eles, a fim de criar diferentes hashes do mesmo arquivo.
No entanto, fomos capazes de encontrar muitas versões diferentes do mesmo MSI e suas cargas, como pode ser visto na captura de tela a seguir do gráfico VT.
À medida que a instalação progride, o instalador extrairá as cargas e as descriptografará de dentro do pacote MSI. O pacote MSI contém três arquivos:
- Uma carga DLL de 64bits(winupdate64).
- Uma carga DLL de 32bits(winupdate32).
- Um arquivo criptografado contendo um rootkit.
Como parte do processo de instalação, o malware modifica o firewall do Windows executando vários comandos netsh. O malware adiciona uma nova política chamada Qianye ao firewall do Windows. Sob esta política, ele cria um novo filtro chamado Filter1 e sob este filtro, proíbe as portas 445, 139, 135 em TCP e UDP de qualquer endereço IP na internet (0.0.0.0) para se conectar à máquina infectada, acreditamos que os atacantes estão fazendo isso a fim de evitar que a máquina infectada seja reinfectada, e/ou seja explorada por um ator de ameaças diferente.
Uma vez que os arquivos acima mencionados estão sendo extraídos, eles serão executados.
Isso pode ser visto como o malware está executando os seguintes comandos:
netsh.exe ipsec static add policy name=qianye
netsh.exe ipsec static add filterlist name=Filter1
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
netsh.exe ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
netsh.exe ipsec static set policy name=qianye assign=y
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
netsh.exe ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 netsh.exe ipsec static add filteraction name=FilteraAtion1 action=block
Além disso, o malware instalará uma interface IPv6 na máquina executando o comando:
netsh.exe interface ipv6 install
Essa ação é tomada para permitir que o malware maximize os endereços ipv6 da varredura, bem como maximizar a eficiência das sub-redes ipv6 espalhadas (geralmente não monitoradas).
Nota importante:
Esses comandos podem ser usados como Indicadores de Comportamento (IoBs) para verificar se seu ambiente está comprometido.
Além disso, esses comandos da Netsh também apareceram em campanhas anteriores e não são exclusivos desta iteração da Raposa Roxa. Estes comandos, especificamente com o nome da política Qianye foram documentados como parte de Rig EK e NuggetPhantom.
O último passo da implantação da Purple Fox antes de reiniciar a máquina é carregar o rootkit que está escondido dentro da carga criptografada no pacote MSI.
De acordo com nossa análise, o rootkit é baseado no projeto de rootkit de código aberto oculto.
O objetivo deste rootkit é ocultar várias chaves e valores de registro, arquivos, etc., conforme detalhado por seu autor no repositório git. Ironicamente, o rootkit oculto foi desenvolvido por um pesquisador de segurança a fim de realizar várias tarefas de análise de malware e manter todas essas tarefas de pesquisa escondidas do malware.
Este rootkit e sua relação com purple fox foi detalhado neste artigo pela 360 Security.
Uma vez que o rootkit seja carregado, o instalador reiniciará a máquina a fim de renomear o DLL de malware em um arquivo DLL do sistema que será executado no inicial
inicial. Desde que executamos o malware em nosso laboratório sem a bandeira /Q, fomos apresentados com a seguinte janela que nos pede para reiniciar a máquina:
Uma vez que a máquina é reiniciada, o malware também será executado. Após sua execução, o malware iniciará seu processo de propagação: o malware gerará intervalos de IP e começará a digitalizar-os na porta 445.
À medida que a máquina responde ao teste SMB que está sendo enviado na porta 445, ele tentará autenticar para SMB forçando nomes de usuário e senhas ou tentando estabelecer uma sessão nula.
Se a autenticação for bem sucedida, o malware criará um serviço cujo nome corresponde ao regex AC0[0-9]{1} — por exemplo, AC01, AC02, AC05 (como mencionado anteriormente) que baixará o pacote de instalação do MSI de um dos muitos servidores HTTP e, assim, completará o loop de infecção.
Indicadores de Compromisso
IOCs estão disponíveis em nosso repositório do GITHUB do COI
FONTE: GUARDICORE