상세 컨텐츠

본문 제목

Purple Fox 악성코드, 노출된 윈도우 시스템에 침투해

국내외 보안동향

by 알약4 2021. 3. 24. 14:00

본문

 

 

Purple Fox malware worms its way into exposed Windows systems

 

과거 익스플로잇 킷과 피싱 이메일을 통해 배포된 악성코드인 Purple Fox가 인터넷을 통해 노출된 윈도우 시스템을 검색해 감염시키는 웜 모듈을 추가한 것으로 나타났습니다.

 

이 악성코드는 루트킷 및 백도어 기능과 함께 제공되며 2018년에 처음 발견되었습니다. 당시 최소 3만대의 기기를 감염시켰으며, 다른 악성코드 변종을 배포하기 위한 다운로더로 사용되었습니다.

 

Purple Fox의 익스플로잇 모듈은 과거에도 윈도우 시스템을 노렸습니다. 이들은 메모리 충돌 및 권한 상승 취약점을 악용하여 웹 브라우저를 통해 윈도우 사용자를 감염시켰습니다.

 

20205월 이후로 Purple Fox 공격이 크게 강화되어 총 9만회의 공격과 600%이상의 감염률을 달성했습니다.

 

 

<이미지 출처 : https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/>

 

 

위험에 처한 인터넷에 노출된 윈도우 기기들

 

이 악성코드의 활성화된 포트 스캐닝을 공격하는 시도는 지난 해 말에 시작된 것으로 추정됩니다.

 

인터넷을 통해 침투 가능한 기기를 검색하던 중 노출된 윈도우 시스템을 발견하면, Purple Fox의 새로 추가된 웜 모듈은 SMB 브루트포싱을 통해 이를 감염시킵니다.

 

지금까지 Purple Fox는 해킹된 서버 약 2천만 대로 이루어진 광범위한 봇 네트워크에 악성코드 드롭퍼와 추가 모듈을 배포한 것으로 나타났습니다.

 

이 봇넷에 포함된 기기에는 IIS 버전 7.5 Microsoft FTP를 사용하는 윈도우 서버 머신, Microsoft RPC, Microsoft Server SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0, Microsoft Terminal Service를 사용하는 서버가 포함됩니다.

 

Purple Fox의 새로운 웜 기능은 인터넷에 노출된 취약한 SMB 서비스를 통해 브루트포싱 공격을 실행하여 서버를 감염시킬 수 있지만, 여전히 피싱 캠페인과 웹 브라우저 취약점을 사용하여 페이로드를 배포하기도 합니다.

 

연구를 진행하는 동안, 우리는 악성코드의 초기 페이로드를 호스팅하는 취약한 해킹된 서버, 웜 캠페인의 노드 역할을 하는 감염된 시스템, 다른 악성코드 캠페인과 관련된 것으로 보이는 서버 인프라 등을 목격했습니다.”

 

 

<이미지 출처 : https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/>

 

 

오픈소스 루트킷 사용하여 지속성 얻어

 

감염된 기기를 재시작하고 지속성을 얻기 전, Purple Fox는 숨겨진 오픈소스 루트킷을 통해 감염된 시스템에서 생성된 파일, 폴더, 윈도우 레지스트리 항목을 숨기기 위해 루트킷 모듈을 설치합니다.

 

루트킷을 배포하고 기기를 재부팅한 후, 악성코드는 윈도우 시스템 DLL과 매치되도록 DLL 페이로드의 이름을 변경하고 시스템 시작 시 실행되도록 구성할 것입니다.

 

시스템 시작 시 악성코드가 실행되면, 이는 웜과 유사한 동작을 수행하여 지속적으로 인터넷에서 다음 타깃을 스캔해 이를 해킹하고 봇넷에 추가하려 시도합니다.

 

기기가 포트 445로 전송된 SMB 프로브(probe)에 응답하면, 브루트포싱 공격을 수행하거나 null 세션을 설정하여 SMB에 인증을 시도합니다.”

 

인증에 성공하면, 이 악성코드는 regex AC0[0-9]{1} — e.g. AC01, AC02, AC05의 이름과 일치하는 서비스를 생성합니다. 이는 많은 HTTP 서버 중 한 곳에서 MSI 설치 패키지를 다운로드하여 감염 루프를 완료합니다.”

 

Purple FoxMSI 드롭 사이트와 connect-back 서버를 포함한 IoCGitHub 에서 확인하실 수 있습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/

https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox

관련글 더보기

댓글 영역