什么是Purple Fox恶意软件,它如何传播到Windows?

紫狐(Furple Fox)起源于2018年,是由漏洞利用工具包提供的无文件下载木马,感染了30,000多台设备。

从历史上看,它需要某种类型的用户交互或第三方工具才能感染设备,并且主要通过网络钓鱼或漏洞利用工具包进行传播。但是,该恶意软件最近已复活并变形为Windows蠕虫。

那么,Purple Fox瞄准的是哪种Windows设备?我们如何保护自己?

重新发明的紫狐

Purple Fox的开发人员通过添加蠕虫模块重新配置了该恶意软件。攻击是通过网络钓鱼电子邮件发起的,该电子邮件提供蠕虫有效载荷,该蠕虫有效载荷会自动扫描并感染基于Windows的系统。

通过简单地扫描易受攻击的端口,此新媒介可以使用暴力攻击来访问系统。一旦找到目标端口,Purple Fox将其渗透并传播感染。

领先的网络安全研究组织Guardicore Labs证实,确实发现了紫狐的新蠕虫变种。

紫狐如何感染设备?

领先的行业专家认为,Purple Fox恶意软件增加了一种新的传播技术,该技术可以利用SMB蛮力攻击来感染计算机。 Purple Fox的这个新变体通过使用不够安全的密码扫描面向Internet的Windows计算机的暴露端口来工作。

通过猜测通过SMB为Windows用户帐户设置的弱密码(允许Windows与文件服务器和打印机等其他设备进行通信的计算机的一部分),恶意软件便将其传播到易受攻击的设备中。

一旦Purple Fox访问了目标,它就会秘密安装一个Rootkit,该Rootkit会将恶意软件隐藏在设备内部,从而使其难以检测。然后,它会生成IP地址列表,并在Internet上扫描有风险的设备以进一步感染,从而创建了一个不断发展的易受攻击设备网络。

哪种类型的Windows设备受到威胁?

新的Purple Fox恶意软件的显着特征是,它针对运行Microsoft Windows操作系统的计算机,并重新利用受感染的设备来托管该恶意软件。

目前,Purple Fox恶意软件正用于分发信息窃取者,加密矿工,勒索软件和特洛伊木马。

根据Guardicore Labs的说法,大多数受影响的设备正在运行带有Internet信息服务(IIS)7.5版和Microsoft FTP的Windows Server的较早版本,以及使用Microsoft RPC,Microsoft Server SQL Server 2008 R2和Microsoft HTTP API httpd 2.0的服务器,以及Microsoft终端服务。

如何保护自己免受紫狐攻击

这里有一些最佳实践,可以帮助您避开紫狐。

遵守危害指标(IoC)

投资数据取证并研究危害的公开指标可能是减轻Purple Fox攻击的第一步。

大多数安全工具已经在其平台中内置了IoC,并且通过跟上最新的IoC,您可以轻松发现数据泄露和恶意软件感染。

Guardicore实验室还发布了有关Purple Fox威胁的IoC公开列表,并一直敦促安全专业人员和恶意软件猎人经常对其进行咨询。

修补蠕虫

紫狐有一个独特的属性:它还可以攻击过去已修补的漏洞。因此,必须威胁搜寻您的环境以清除先前的感染。

一旦发现感染,不断进行修补和更新是防止此类恶意软件的关键。

您还应该研究针对旧版或嵌入式系统或软件的虚拟补丁。

进行安全和IT审核

进行安全审核是发现安全漏洞并修复安全系统中潜在漏洞的简便方法。

如果您在大公司工作,建议让IT部门检查所有设备,因为Purple Fox主要针对易受攻击的设备。

采用最低特权原则(POLP)

为了保护公司网络,应通过限制权限控制来实现最小特权原则。最佳做法是限制应为IT和系统管理员保留的工具的使用。

安全策略越严格,入侵的机会就越小。

相关:最小特权的原则是什么,它如何防止网络攻击?

部署行为监控

行为监视是查明异常活动并主动对其进行管理的好方法。

管理诸如Redscan之类的行为工具可以分析来自各种来源的数据,并采用机器学习机制来识别攻击模式。

投资沙箱

沙箱是防止Purple Fox等恶意软件的绝佳选择。沙箱可以隔离可疑文件,并帮助进一步分析它们。

有许多很棒的沙箱选项可用来调查可疑网站,包括PhishCheckVirusTotal 。您也可以尝试使用免费的扫描程序Urlscan ,它采用自动化过程浏览URL,然后记录活动。

防火墙和入侵防御系统

应该结合使用入侵检测系统(例如防火墙)和入侵防御系统(IPS)(例如McAfee Network Security Platform)来分析和监视家庭或工作网络上的入站和出站流量。

相关:最佳的入侵检测和防御系统,可增强您的网络安全

实施网络安全意识培训

为了减轻安全威胁,您需要首先能够检测到它。为您的家庭和工作生活实施网络安全意识培训应该是当务之急。

雇主应该全面培养网络安全意识培训:更多天真的员工可以通过成为网络钓鱼攻击和下载恶意软件的简单目标来承担最大的风险。

超越紫狐

紫狐的攻击现在正在迅速发展,受感染的设备总数达到了惊人的90,000。其最新的感染媒介可搜寻主动连接到互联网并暴露出漏洞的Windows计算机。

击败狡猾的紫狐和/或任何类型的网络攻击绝非易事,但也不要气disc。只需一点练习,一定程度的谨慎,再加上许多与黑客作战的技巧和窍门,您当然可以超越Purple Fox!