據報道，“紫狐狸（Purple Fox）”木馬在去年至少感染了3萬名計算機用戶。作為一種下載型木馬，“紫狐狸”具備下載其他惡意軟件，此前就曾被用來下載并執行加密貨币挖礦惡意軟件。

網絡安全公司趨勢科技（Trend Micro）于近日發文稱，他們再次發現了“紫狐狸”的一個新變種，雖然依舊借助Rig漏洞利用工具包傳播，但卻多了一些新花樣。

趨勢科技表示，新版本的“紫狐狸”能夠濫用公開可用的代碼來保留其Rootkit組件，并且不再使用Nullsoft Scriptable Install System（NSIS）工具來檢索和執行其有效載荷，而是使用PowerShell腳本，這使得它能夠進行無文件感染。

此外，新版本的“紫狐狸”還新增了額外的漏洞利用代碼。趨勢科技認為，這很有可能是一種備用感染方案，以提高感染的成功率。

圖1. 新版本“紫狐狸”的感染鍊

趨勢科技表示，隻要用戶訪問了由攻擊者部署的托管有Rig漏洞利用工具包的惡意網站，他們就有三種方法來将用戶重定向到一個惡意PowerShell腳本：

1.包含CVE-2018-15982漏洞利用代碼的Flash（.swf）文件；

2.一個包含CVE-2014-6332（一個存在于IE浏覽器VBScript引擎中的漏洞）漏洞利用代碼的.htm文件；

3.指向一個.hta文件的.htm文件，包含CVE-2018-8174（一個存在于VBScript引擎中的遠程代碼執行漏洞）漏洞利用代碼。

圖2. .hta文件，用于将用戶重定向到惡意PowerShell腳本

如果受感染計算機的當前用戶帳戶具有管理訪問權限，惡意PowerShell腳本則将僞裝成一個圖片（.jpg）文件，通過濫用msi.DLL（一個能夠安裝.msi軟件包的動态鍊接庫DLL）的API接口來安裝并執行“紫狐狸”的主組件。

圖3. 惡意PowerShell腳本濫用msi.dll

如果當前用戶帳戶沒有管理訪問權限，惡意PowerShell腳本則将濫用PowerSploit模塊（通常由滲透測試人員使用），從而利用兩個漏洞：CVE-2015-1701和CVE-2018-8120。

一旦漏洞利用成功，惡意PowerShell腳本将獲得更高的權限，使得它可以濫用msiec .exe（可通過命令行安裝或修改.msi文件）來下載并執行“紫狐狸”的主組件。

圖4. 惡意PowerShell腳本濫用msiec .exe下載并執行“紫狐狸”的主組件

趨勢科技表示，早期版本的“紫狐狸”使用了msi.dll的MsiInstallProductA 函數來下載并執行其有效載荷——一個.msi文件，其中包含加密的shellcode以及32位和64位版本的有效載荷。

一旦執行，它将重新啟動計算機并使用PendingFileRenameOperations注冊表（負責存儲操作系統重新啟動時将重命名的文件的名稱）以重命名其組件。

在重新啟動計算機後，它将使用其Rootkit功能（隐藏其文件和注冊表項）創建一個挂起的svchost進程并注入一個DLL，然後創建一個具有Rootkit功能的驅動程序。

在執行有效載荷之前，它還會在注入的DLL中設置以下内容：驅動程序文件（dump_ {random hex} .sys）——負責Rootkit功能，主組件是一個DLL文件（Ms {random hex} App.dll）。

然而，與早期版本不同，新版本“紫狐狸”選擇了使用開源代碼來啟用其Rootkit組件，包括隐藏并保護其文件和注冊表項。同樣值得注意的是，新版本“紫狐狸”還會使用一個文件實用程序軟件來隐藏其DLL組件，這阻止了逆向工程或破解嘗試。

圖5.新版本“紫狐狸”用來隐藏并保護其組件和注冊表項的代碼

從本質上講，“紫狐狸”屬于一種下載型木馬，能夠在感染目标計算機後下載其他惡意軟件，如加密貨币挖礦惡意軟件。用戶一旦被感染，就将面臨各種各樣的威脅。

新版本的“紫狐狸”更具感染性，借助惡意PowerShell腳本，它實現了無文件感染。此外，它還新增了額外的漏洞利用代碼，包括一個在五年前就已經被修複的漏洞，這就凸顯出及時安裝安全補丁是何其重要，特别是對于企業而言。