什么是 Purple Fox 恶意软件以及它怎样传播到 Windows?

Purple Fox 起源于 2018 年,是一种无文件下载器木马,由漏洞利用工具包提供,感染了 30,000 多台设备。

从历史上看,它需要某种用户交互或第三方工具来感染设备,并且主要通过网络钓鱼或漏洞利用工具包进行传播。 但是,该恶意软件最近又复活并变身为 Windows 蠕虫。

那么,Purple Fox 的目标是什么类型的 Windows 设备? 我们怎样保护自己?

重新发明的紫狐

Purple Fox 的开发人员通过添加蠕虫模块重新配置了该恶意软件。 攻击由网络钓鱼电子邮件发起,该电子邮件提供蠕虫有效负载,可自动扫描并感染基于 Windows 的系统。

这个新的向量可以通过简单地扫描易受攻击的端口来使用蛮力攻击来访问系统。 一旦找到目标端口,Purple Fox 就会渗透它并传播感染。

领先的网络安全研究机构, Guardicore 实验室 证实确实发现了紫狐的一种新蠕虫变种。

Purple Fox 怎样感染设备?

领先的行业专家认为,Purple Fox 恶意软件增加了一种新的传播技术,可以通过 SMB 暴力攻击来感染机器。 Purple Fox 的这个新变种通过使用不够强大的密码扫描面向互联网的 Windows 计算机的暴露端口来工作。

通过 SMB(允许 Windows 与其他设备(如文件服务器和打印机)进行通信的机器的一部分)猜测 Windows 用户帐户的弱密码,恶意软件会刺入易受攻击的设备。

Purple Fox 一旦访问了目标,就会悄悄安装一个 rootkit,将恶意软件隐藏在设备内部,使其难以被检测到。 然后它会生成一个 IP 地址列表并扫描互联网以查找有风险的设备以进一步感染,从而创建一个不断增长的易受攻击设备网络。

什么类型的基于 Windows 的设备存在风险?

新的 Purple Fox 恶意软件的显着特点是它以运行 Microsoft Windows 操作系统的机器为目标,并将受感染的设备重新用于托管恶意软件。

目前,Purple Fox 恶意软件被用于分发信息窃取程序、加密矿工、勒索软件和木马程序。

根据 Guardicore Labs 的说法,大多数受影响的设备都运行旧版本的 Windows Server 和 Internet Information Services (IIS) 7.5 版和 Microsoft FTP 以及使用 Microsoft RPC、Microsoft Server SQL Server 2008 R2 和 Microsoft HTTP API httpd 2.0 的服务器,以及微软终端服务。

怎样保护自己免受紫狐袭击

以下是一些可以帮助您避开紫狐的最佳实践。

观察妥协指标 (IoC)

投资于数据取证并调查公开的妥协指标可能是减轻紫狐攻击的第一步。

大多数安全工具已经在其平台中内置了 IoC,通过跟上最近的 IoC,您可以轻松发现数据泄露和恶意软件感染。

Guardicore 实验室还发布了一份 IoC 的公开列表 关于 Purple Fox 威胁,并一直敦促安全专业人员和恶意软件猎人经常咨询它。

修补蠕虫

Purple Fox 有一个独特的属性:它还会攻击过去已经修补的漏洞。 因此,必须对您的环境进行威胁追踪以清除先前的感染。

一旦发现感染,不断修补和更新它们是防止此类恶意软件的关键。

您还应该研究传统或嵌入式系统或软件的虚拟补丁。

进行安全和 IT 审计

进行安全审计是识别安全系统中的弱点和修复潜在漏洞的一种简单方法。

如果您在大公司工作,建议让 IT 部门检查所有设备,因为 Purple Fox 主要针对易受攻击的设备。

使用最低权限原则 (POLP)

为保护企业网络,应通过限制权限控制来实现最小权限原则。 最佳做法是限制应为 IT 和系统管理员保留的工具的使用。

安全策略越严格,入侵的机会就越小。

部署行为监控

行为监控是查明异常活动并主动管理它们的好方法。

管理行为工具,例如 红扫描 可以分析来自各种来源的数据并采用机器学习机制来识别攻击模式。

投资沙盒

沙箱是防止 Purple Fox 等恶意软件的绝佳选择。 沙箱可以隔离可疑文件并帮助进一步分析它们。

有一些很棒的沙箱选项可以调查可疑网站,包括 网络钓鱼检查病毒总数. 你也可以试试 网址扫描,一种免费的扫描程序,它采用自动化流程来浏览 URL,然后记录活动。

防火墙和入侵防御系统

防火墙等入侵检测系统和入侵防御系统 (IPS) 的组合,如 迈克菲网络安全平台 应该用于分析和监控家庭或工作网络上的入站和出站流量。

实施网络安全意识培训

为了减轻安全威胁,您首先需要能够检测到它。 为您的家庭和工作生活实施网络安全意识培训应该是一个优先事项。

雇主应全面开展网络安全意识培训:较幼稚的员工容易成为网络钓鱼攻击和下载恶意软件的目标,从而带来最大的风险。

击败紫狐

Purple Fox 攻击现在势头强劲,受感染设备的总数达到惊人的 90,000。 其最新的感染媒介会追踪主动连接到 Internet 并暴露漏洞的 Windows 计算机。

击败狡猾的紫狐和/或任何类型的网络攻击并非易事,但不要气馁。 只需稍加练习,一定程度的谨慎,并掌握大量打击黑客的技巧和窍门,您当然可以战胜紫狐!